Un recente caso di cyber attacco contro una piccola azienda automobilistica francese mostra come la rimozione di un server di comando e controllo non basti a fermare un intruso. Dopo l’accesso iniziale, un attaccante francofono ha installato un keylogger e ha sottratto credenziali bancarie e di posta elettronica, puntando a ottenere dati che le vittime digitano ogni giorno, come password per email, home banking e portali governativi.
La particolarità dell’intrusione è stata la scelta di creare una persistenza alternativa, indipendente dall’infrastruttura C2, usando strumenti legittimi e firmati.
L’attacco è stato ricostruito comando per comando per oltre un mese, con centinaia di comandi eseguiti in una finestra temporale di 33 giorni. La catena di infezione ha privilegiato tecniche fileless: uno stager in VBScript con ritardo per eludere sandbox ha decrittato un loader PowerShell, che a sua volta ha scaricato un loader .NET capace di eseguire un agente di controllo in memoria senza depositare l’impianto su disco. Per ottenere privilegi elevati è stata usata una richiesta RunAs che genera il prompt UAC, quindi non silenziosa, segno di una operatività non sempre matura ma sufficiente a compromettere più macchine.
Dopo l’accesso, l’attaccante ha consolidato la presenza con una scheduled task avviata a ogni logon con privilegi massimi, iniezione di shellcode in Explorer.exe e un canale di backup tramite un software di accesso remoto personalizzato. Il keylogger, semplice e locale, salvava i tasti premuti su file e veniva recuperato manualmente. Per evitare interruzioni, sono stati modificati parametri di powercfg per impedire lo standby.
Il passaggio chiave è arrivato quando è stato installato OpenSSH Server insieme a Tailscale su una workstation Windows. Unendo il dispositivo a una rete privata mesh cifrata, l’attaccante ha creato un accesso persistente via SSH con chiavi e tunnel reverse, senza porte esposte e senza dipendere dal C2. Quando il server C2 è andato offline il giorno dopo, l’accesso è rimasto attivo tramite Tailscale. Alla riattivazione del C2, gli agenti si sono riconnessi automaticamente, senza nuova compromissione.
Indicatori e punti di monitoraggio per la difesa
- Installazioni insolite di OpenSSH su endpoint Windows.
- Presenza di tailscale.exe dove non previsto.
- Comandi SSH con opzione -R (reverse tunneling).
- Esecuzioni di wscript.exe con file .vbs in cartelle utente.
- Scheduled task ad alto privilegio che avviano interpreti di script.
- Modifiche a powercfg per mantenere i sistemi svegli.