È stato osservato un nuovo attacco multifase che diffonde famiglie di malware come le varianti di Agent Tesla, Remcos RAT e XLoader.
"Gli aggressori si affidano sempre di più a meccanismi di distribuzione complessi per eludere il rilevamento, aggirare i sandbox tradizionali e garantire la distribuzione e l'esecuzione corrette del payload", ha affermato Saqib Khanzada, ricercatore dell'Unità 42 di Palo Alto Networks, in un resoconto tecnico della campagna.
Il punto di partenza dell'attacco è un'e-mail ingannevole che si spaccia per una richiesta d'ordine di consegna di un allegato dannoso di tipo archivio 7-zip, contenente un file codificato in JavaScript (.JSE).
L'email di phishing, rilevata nel dicembre 2024, affermava falsamente che era stato effettuato un pagamento e invitava il destinatario a esaminare un file d'ordine allegato. L'avvio del payload JavaScript innesca la sequenza di infezione, con il file che funge da downloader per uno script di PowerShell da un server esterno.
Lo script, a sua volta, contiene un payload codificato in Base64 che viene successivamente decifrato, scritto nella directory temporanea di Windows ed eseguito. Ecco dove accade qualcosa di interessante: l'attacco genera un dropper di fase successiva, compilato con .NET o AutoIt.
Nel caso di un eseguibile .NET, il payload incorporato crittografato (una variante di Agent Tesla sospettata di essere Snake Keylogger o XLoader) viene decodificato e iniettato in un processo "RegAsm.exe" in esecuzione, una tecnica osservata in precedenti campagne di Agent Tesla.
L'eseguibile compilato da AutoIt, d'altra parte, introduce un livello aggiuntivo nel tentativo di complicare ulteriormente le attività di analisi. Lo script AutoIt all'interno dell'eseguibile incorpora un payload crittografato responsabile del caricamento dello shellcode finale, causando l'iniezione del file .NET in un processo "RegSvcs.exe", che porta infine all'implementazione dell'agente Tesla.
"Questo suggerisce che l'aggressore utilizzi più percorsi di esecuzione per aumentare la resilienza ed eludere il rilevamento", ha osservato Khanzada. "L'attenzione dell'aggressore rimane su una catena di attacco multilivello piuttosto che su un offuscamento sofisticato."
"Accumulando fasi semplici anziché concentrarsi su tecniche altamente sofisticate, gli aggressori possono creare catene di attacco resilienti che complicano l'analisi e il rilevamento."
IronHusky presenta la nuova versione di MysterySnail RAT
La rivelazione arriva mentre Kaspersky descrive in dettaglio una campagna che prende di mira organizzazioni governative con sede in Mongolia e Russia con una nuova versione di un malware chiamato MysterySnail RAT. L'attività è stata attribuita a un autore di minacce di lingua cinese soprannominato IronHusky.
IronHusky, la cui attività è stata stimata almeno dal 2017, era stato precedentemente documentato dalla società russa di sicurezza informatica nell'ottobre 2021 in relazione allo sfruttamento zero-day di CVE-2021-40449, una falla di escalation dei privilegi Win32k, per diffondere MysterySnail.
Le infezioni provengono da uno script dannoso di Microsoft Management Console (MMC) che imita un documento Word dell'Agenzia Nazionale del Territorio della Mongolia ("co-financing letter_alamgac"). Lo script è progettato per recuperare un archivio ZIP contenente un documento esca, un file binario legittimo ("CiscoCollabHost.exe") e una DLL dannosa ("CiscoSparkLauncher.dll").
Non si sa esattamente come lo script MMC venga distribuito ai bersagli di interesse, anche se la natura del documento esca suggerisce che potrebbe essere avvenuto tramite una campagna di phishing.
Come osservato in molti attacchi, "CiscoCollabHost.exe" viene utilizzato per caricare lateralmente la DLL, una backdoor intermedia in grado di comunicare con l'infrastruttura controllata dall'aggressore sfruttando il progetto open source piping-server .
La backdoor supporta funzionalità per eseguire shell di comandi, scaricare/caricare file, enumerare il contenuto delle directory, eliminare file, creare nuovi processi e terminarsi. Questi comandi vengono quindi utilizzati per eseguire il sideload di MysterySnail RAT.
L'ultima versione del malware è in grado di accettare quasi 40 comandi, consentendogli di eseguire operazioni di gestione dei file, eseguire comandi tramite cmd.exe, avviare e terminare processi, gestire servizi e connettersi alle risorse di rete tramite moduli DLL dedicati.
Kaspersky ha affermato di aver osservato gli aggressori rilasciare una "versione riproposta e più leggera" di MysterySnail, nome in codice MysteryMonoSnail, dopo che le aziende interessate avevano adottato misure preventive per bloccare le intrusioni.
"Questa versione non ha tutte le funzionalità della versione di MysterySnail RAT", ha osservato l'azienda. "È stata programmata per avere solo 13 comandi di base, utilizzati per elencare il contenuto delle directory, scrivere dati su file e avviare processi e shell remote."
Nessun commento:
Posta un commento