SOC Prime Bias: Critique

20 Jan 2026 20:27
newspaper icon co.kr

Opération Poséidon : Attaques de phishing ciblé exploitant les mécanismes de redirection de Google Ads

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Opération Poséidon : Attaques de phishing ciblé exploitant les mécanismes de redirection de Google Ads
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

L’opération Poseidon est une campagne de spear-phishing attribuée à l’APT Konni qui exploite les URL de suivi/redirection des clics publicitaires de Google et Naver pour livrer des fichiers raccourcis LNK malveillants. Lorsqu’il est ouvert, le LNK déclenche un chargeur AutoIt qui exécute principalement EndRAT en mémoire. L’opération repose sur des sites WordPress compromis pour l’hébergement de la charge utile et des services de commande et contrôle (C2).

Enquête

Genians Security Center a examiné les leurres d’e-mails de phishing, les balises de suivi intégrées et le flux d’exécution de bout en bout – du lancement du raccourci LNK à la logique de mise en scène AutoIt et au déploiement en mémoire d’EndRAT. Les analystes ont également noté la réutilisation des artefacts d’infrastructure et de développement, y compris le domaine jlrandsons.co.uk et le chemin de construction D:3_Attack WeaponAutoitBuild__Poseidon – Attackclient3.3.14.a3x.

Atténuation

Empêchez l’exécution des fichiers LNK livrés dans les archives ZIP, et examinez les chaînes de redirection de clics publicitaires provenant des domaines de suivi de Google/Naver. Appliquez une couverture EDR stricte pour l’activité AutoIt et le lancement de processus suspects (notamment les lancements anormaux de PowerShell ou cmd.exe). Réduisez les abus d’infrastructure en renforçant et en patchant régulièrement les instances de WordPress pour limiter leur utilisation comme points de distribution de logiciels malveillants.

Réponse

Alerter sur les événements d’exécution initiale de LNK, signaler les exécutions de AutoIt.exe initiées par interaction utilisateur, et surveiller les connexions sortantes vers les domaines et IP de C2 identifiés. Mettre en quarantaine les points de terminaison suspects et collecter les artefacts légaux, y compris le script AutoIt, les métadonnées LNK et toutes les composantes récupérées d’EndRAT, pour soutenir la délimitation et l’éradication.

« graph TB %% Class Definitions classDef action fill:#99ccff %% Node definitions node_phishing[« <b>Action</b> – <b>T1566.001 Spearphishing Attachment</b><br /><b>Description</b>: Envoyer un email de spear-phishing avec un fichier ZIP malveillant contenant un raccourci LNK. »] class node_phishing action node_user_execution[« <b>Action</b> – <b>T1204.001 User Execution Malicious Link</b><br /><b>Description</b>: La victime clique sur une URL de redirection (ad.doubleclick.net) qui mène à un téléchargement malveillant. »] class node_user_execution action node_lnk_smuggling[« <b>Action</b> – <b>T1027.012 LNK Icon Smuggling</b><br /><b>Description</b>: Le raccourci LNK cache une charge utile malveillante derrière une icône bénigne et lance un script AutoIt. »] class node_lnk_smuggling action node_autohotkey_autoit[« <b>Action</b> – <b>T1059.010 Command and Scripting Interpreter AutoHotKey and AutoIT</b><br /><b>Description</b>: Script AutoIt se faisant passer pour un PDF charge la charge utile EndRAT directement en mémoire. »] class node_autohotkey_autoit action node_masquerade[« <b>Action</b> – <b>T1036.008 Masquerade File Type</b><br /><b>Description</b>: Le script malveillant est présenté avec une extension .pdf pour paraître légitime. »] class node_masquerade action node_web_service[« <b>Action</b> – <b>T1102 Web Service</b><br /><b>Description</b>: Site WordPress compromis utilisé pour héberger la charge utile et communiquer avec le serveur de commande et contrôle. »] class node_web_service action %% Connections node_phishing u002du002d>|conduit à| node_user_execution node_user_execution u002du002d>|conduit à| node_lnk_smuggling node_lnk_smuggling u002du002d>|conduit à| node_autohotkey_autoit node_autohotkey_autoit u002du002d>|conduit à| node_masquerade node_autohotkey_autoit u002du002d>|conduit à| node_web_service « 

Flux d’Attaque

Simulation d’Exécution

Prérequis : le contrôle de pré-vol Télémetrie & Référence doit avoir passé.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le narratif DOIVENT refléter directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.

  • Narratif & Commandes d’Attaque :

    Un attaquant crée un raccourci malveillant (malicious.lnk) qui pointe vers powershell.exe avec une commande encodée pour télécharger et exécuter une charge utile. Le raccourci est livré par e-mail de spear-phishing. Lors d’un double-clic, l’explorateur Windows résout le .lnk, générant powershell.exe comme un enfant du processus LNK. Cette relation exacte parent-enfant satisfait la règle Sigma execution_after_LNK condition.

  • Script de Test de Régression :

    # -------------------------------------------------------------
# Créer un LNK malveillant qui lance PowerShell avec une commande encodée
# -------------------------------------------------------------
$WshShell = New-Object -ComObject WScript.Shell

# Chemin où le LNK sera créé (Bureau)
$lnkPath = "$Env:UserProfileDesktopmalicious.lnk"

# Exécutable cible
$target = "$Env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe"

# Exemple de commande encodée (crée un fichier texte comme indicateur inoffensif)
$plainCmd = "New-Item -Path $Env:Tempposeidon_test.txt -ItemType File -Force"
$bytes = [System.Text.Encoding]::Unicode.GetBytes($plainCmd)
$encoded = [Convert]::ToBase64String($bytes)

$arguments = "-EncodedCommand $encoded"

$shortcut = $WshShell.CreateShortcut($lnkPath)
$shortcut.TargetPath = $target
$shortcut.Arguments = $arguments
$shortcut.Save()

Write-Host "LNK créé à $lnkPath"

# -------------------------------------------------------------
# Exécuter le LNK pour déclencher la règle de détection
# -------------------------------------------------------------
Start-Process -FilePath $lnkPath

# -------------------------------------------------------------
# Optionnel : pause pour permettre l'ingestion SIEM
# -------------------------------------------------------------
Start-Sleep -Seconds 10

# -------------------------------------------------------------
# Nettoyage (supprimer le fichier indicateur, le LNK et l'indicateur)
# -------------------------------------------------------------
Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue
Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue

Write-Host "Nettoyage terminé."

  • Commandes de Nettoyage : (si le script ci-dessus n’est pas utilisé)

    # Supprimer tous les fichiers indicateurs créés pendant le test
Remove-Item -Path "$Env:Tempposeidon_test.txt" -ErrorAction SilentlyContinue

# Supprimer le raccourci malveillant
$lnkPath = "$Env:UserProfileDesktopmalicious.lnk"
Remove-Item -Path $lnkPath -ErrorAction SilentlyContinue

Write-Host "Artefacts de test supprimés."

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement