Ricerche sulle CyberMinacce

Alla scoperta di Minhook in un attacco con sideloading – e spunta anche la Svezia

Tattiche e tecniche in evoluzione: ecco cosa emerge quando i ricercatori iniziano a indagare
Scritto da
8 Maggio 2025
Threat Research cobalt strike DLL sideloading minhook

Alla fine del 2023 e nella prima metà del 2024, abbiamo monitorato una campagna di attacchi che ha preso di mira diversi nostri clienti in varie aree geografiche.

Sebbene gli attacchi abbiano tentato di distribuire un payload di Cobalt Strike, che avrebbe potuto dare origine a molteplici attività malevole, le informazioni raccolte attraverso le nostre rilevazioni ci portano a ritenere, con un livello medio di confidenza, che tali attività possano essere ricondotte a un unico attore della minaccia.

La campagna presentava diverse caratteristiche degne di nota:

L’obiettivo iniziale, rivolto all’Estremo Oriente, si è spostato in Svezia.

  • È stato utilizzato il Minhook (una libreria di aggancio API per Windows) per deviare le chiamate API di Windows.
  • Il clean loader non faceva parte del pacchetto di sideloading, ma è stato prelevato dal sistema infetto.
  • È stato fatto uso di una firma digitale compromessa (anche se scaduta) per i componenti.
  • Il payload finale era Cobalt Strike.

L’indagine è in corso e le conoscenze acquisite continuano a dare risultati. In questo approfondimento non solo vedremo cosa abbiamo imparato, ma anche come si è svolta la caccia.

Primi episodi in Cina e Taiwan

Abbiamo osservato due diversi scenari di sideloading a distanza di un solo giorno presso lo stesso cliente. Successivamente, ne abbiamo individuato un terzo presso un altro cliente. In un primo momento abbiamo ipotizzato che gli episodi potessero essere collegati: in entrambi i casi venivano utilizzati gli stessi nomi per i file contenenti i payload criptati e, in tutte e due le situazioni, il payload era Cobalt Strike. Tuttavia, non siamo riusciti a recuperare i file malevoli in questione.

Attraverso un’analisi retrospettiva (retrohunt), abbiamo individuato episodi simili presso un ristretto gruppo di nostri clienti in Cina e a Taiwan. I primi segnali — tra campioni e report — risalgono al 1° dicembre 2023. Durante l’indagine su questo piccolo cluster, abbiamo rilevato tre tentativi distinti di sideloading, che descriveremo nel dettaglio qui di seguito.

Continua a leggere l’articolo.

 

L’autore

Gabor graduated from the Eotvos Lorand University of Budapest with a degree in physics. His first job was in the Computer and Automation Research Institute, developing diagnostic software and hardware for nuclear power plants. He started antivirus work in 1995, and began developing freeware antivirus solutions in his spare time. Gabor joined VirusBuster in 2001 where he was responsible for taking care of macro virus and script malware and became head of the virus lab in 2002. In 2008 he became a member of the Board of Directors in AMTSO (Anti Malware Testing Standards Organization) and, in 2012, joined Sophos as a Principal Malware Researcher.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *