Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les acteurs malveillants exploitent Google Forms pour distribuer des archives ZIP malveillantes qui installent finalement le RAT PureHVNC. L’archive inclut un PDF leurre aux côtés d’un exécutable malveillant et d’une paire de DLL qui s’exécutent par détournement de DLL. Une fois lancé, le malware effectue une reconnaissance du système, vole des données et établit la persistance en modifiant le registre et en programmant des tâches.
Enquête
Les chercheurs ont documenté plusieurs variantes de campagne et ont confirmé l’exploitation de msimg32.dll pour le détournement de DLL. Ils ont observé la persistance via la clé de registre Miroupdate, l’exécution en plusieurs étapes qui dépose un ZIP final dans ProgramData, et un chargeur Python obfusqué qui exécute du shellcode Donut. À l’étape finale, le RAT PureHVNC est injecté dans SearchUI.exe.
Atténuation
Les utilisateurs doivent éviter de télécharger des fichiers provenant de pages Google Forms non fiables ou de liens raccourcis. La légitimité des formulaires partagés et des URL, en particulier ceux livrés via LinkedIn, doit être soigneusement vérifiée. Les organisations doivent imposer des filtres URL et des protections des terminaux pour bloquer les fichiers malveillants connus, les domaines, et les chemins de livraison de charges utiles.
Réponse
Les équipes de détection doivent rechercher la présence de msimg32.dll, la clé de démarrage Miroupdate, les tâches planifiées contenant du PowerShell en base64, et le comportement d’injection de processus PureHVNC. Les fichiers ZIP malveillants doivent être mis en quarantaine, les mécanismes de persistance supprimés, et tous les domaines d’infrastructure associés bloqués.
"graph TB %% Class definitions classDef technique fill:#e6f5ff %% Node definitions tech_user_exec["<b>Technique</b> – <b>T1204.001 User Execution: Lien Malveillant</b><br/><b>Description</b>: Trompe un utilisateur en cliquant sur un lien malveillant qui entraîne l’exécution d’un code malveillant."] class tech_user_exec technique tech_dll_hijack["<b>Technique</b> – <b>T1574.001 Détournement de Flux d’Exécution: DLL</b><br/><b>Description</b>: Charge une DLL malveillante en détournant l’ordre de recherche normal des DLL ou en utilisant des techniques de chargement latéral."] class tech_dll_hijack technique tech_user_activity["<b>Technique</b> – <b>T1497.002 Évasion de Virtualisation/Sandbox: Vérifications Basées sur l’Activité Utilisateur</b><br/><b>Description</b>: Vérifie l’activité réelle de l’utilisateur (souris, clavier, écran) pour déterminer si elle s’exécute dans un environnement sandbox ou virtuel."] class tech_user_activity technique tech_rc_scripts["<b>Technique</b> – <b>T1037.004 Scripts d’Initialisation au Démarrage ou à la Connexion: Scripts RC</b><br/><b>Description</b>: Modifie ou crée des scripts RC (runu2011control) sur les systèmes de type Unix pour obtenir la persistance au démarrage ou à la connexion."] class tech_rc_scripts technique tech_scheduled_task["<b>Technique</b> – <b>T1053 Tâche/Job Planifié</b><br/><b>Description</b>: Crée des tâches ou des jobs planifiés qui exécutent du code malveillant à un moment ultérieur ou de manière récurrente."] class tech_scheduled_task technique tech_powershell["<b>Technique</b> – <b>T1059.001 Interpréteur de Commandes et de Scripts: PowerShell</b><br/><b>Description</b>: Utilise PowerShell pour exécuter des commandes, scripts ou charges utiles sur le système victime."] class tech_powershell technique tech_compress["<b>Technique</b> – <b>T1027.015 Fichiers ou Informations Obfusqués: Compression</b><br/><b>Description</b>: Compresse ou conditionne des fichiers malveillants pour échapper à la détection et réduire la taille."] class tech_compress technique tech_dynamic_api["<b>Technique</b> – <b>T1027.007 Fichiers ou Informations Obfusqués: Résolution d’API Dynamique</b><br/><b>Description</b>: Résout les appels d’API à l’exécution pour cacher la véritable intention du code à l’analyse statique."] class tech_dynamic_api technique tech_process_injection["<b>Technique</b> – <b>T1055 Injection de Processus</b><br/><b>Description</b>: Injecte du code malveillant dans l’espace d’adressage d’un autre processus en cours d’exécution."] class tech_process_injection technique tech_process_hollow["<b>Technique</b> – <b>T1055.012 Injection de Processus: Hollowing de Processus</b><br/><b>Description</b>: Crée un processus légitime en état suspendu et remplace sa mémoire par du code malveillant."] class tech_process_hollow technique tech_sysinfo["<b>Technique</b> – <b>T1082 Découverte des Informations Système</b><br/><b>Description</b>: Collecte les détails du système d’exploitation, du matériel et de la configuration de la victime."] class tech_sysinfo technique tech_browser_info["<b>Technique</b> – <b>T1217 Découverte des Informations du Navigateur</b><br/><b>Description</b>: Énumère les navigateurs installés, les extensions et les paramètres pour faciliter un vol supplémentaire d’identifiants."] class tech_browser_info technique tech_browser_creds["<b>Technique</b> – <b>T1555.003 Identifiants des Stocks de Mots de Passe: Identifiants des Navigateurs Web</b><br/><b>Description</b>: Extrait les noms d’utilisateur et mots de passe enregistrés des navigateurs web."] class tech_browser_creds technique tech_file_creds["<b>Technique</b> – <b>T1552.001 Identifiants Non Sécurisés: Identifiants Dans les Fichiers</b><br/><b>Description</b>: Recherche le système de fichiers pour le matériel d’identification stocké en clair ou dans des fichiers mal protégés."] class tech_file_creds technique tech_private_keys["<b>Technique</b> – <b>T1552.004 Identifiants Non Sécurisés: Clés Privées</b><br/><b>Description</b>: Localise les fichiers de clés privées qui peuvent être utilisés pour usurper l’identité de la victime."] class tech_private_keys technique tech_web_cookie["<b>Technique</b> – <b>T1550.004 Utiliser du Matériel d’Authentification Alternatif: Cookie de Session Web</b><br/><b>Description</b>: Réutilise les cookies de session web collectés pour s’authentifier sur les services web sans avoir besoin de mots de passe."] class tech_web_cookie technique %% Connections tech_user_exec –>|déclenche| tech_dll_hijack tech_dll_hijack –>|effectue| tech_user_activity tech_dll_hijack –>|utilise| tech_rc_scripts tech_rc_scripts –>|crée| tech_scheduled_task tech_scheduled_task –>|exécute| tech_powershell tech_powershell –>|emboîte| tech_compress tech_compress –>|inclut| tech_dynamic_api tech_compress –>|permet| tech_process_injection tech_process_injection –>|utilise| tech_process_hollow tech_process_hollow –>|récolte| tech_sysinfo tech_process_hollow –>|découvre| tech_browser_info tech_process_hollow –>|vole| tech_browser_creds tech_process_hollow –>|vole| tech_file_creds tech_process_hollow –>|vole| tech_private_keys tech_process_hollow –>|exploite| tech_web_cookie "
Flux d’Attaque
Détections
Création Possible de Tâche Planifiée (via powershell)
Voir
Utilitaire de Compression Passé par Répertoire Inhabituel (via cmdline)
Voir
Exécution Python depuis des Dossiers Suspects (via cmdline)
Voir
Possibilité d’Exécution via des Lignes de Commande PowerShell Cachées (via cmdline)
Voir
Points de Persistance Possibles [ASEPs – Hive Software/NTUSER] (via registry_event)
Voir
IOC (SourceIP) à détecter: Ce « descriptif de poste » sur Google Forms pourrait infecter votre appareil
Voir
IOC (HashSha256) à détecter: Ce « descriptif de poste » sur Google Forms pourrait infecter votre appareil
Voir
IOC (DestinationIP) à détecter: Ce « descriptif de poste » sur Google Forms pourrait infecter votre appareil
Voir
Détection de Requêtes WMI PureHVNC [Windows Sysmon]
Voir
Exécution Suspecte de PDF et Extraction ZIP avec Exécution de Script Python [Création de Processus Windows]
Voir
Exécution de Simulation
Prérequis : La Vérification Préalable de Télémétrie & de Base doit avoir été réussie.
Rationalisation : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif et Commandes de l’Attaque :
Un opérateur a compromis le point d’extrémité et a déployé PureHVNC. L’outil lance un processus PowerShell caché qui émet trois requêtes WMI distinctes pour récolter des informations sur le système :SELECT Caption FROM Win32_OperatingSystem– recueille la version de l’OS.SELECT * FROM AntiVirusProduct– énumère les produits antivirus installés.SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')– découvre les caméras et dispositifs d’imagerie attachés.
Les requêtes sont exécutées viawmicpour se fondre dans une activité administrative légitime, mais les chaînes exactes correspondent aublocde sélection de la règle de détection.
-
Script de Test de Régression :
# Simulation de requête WMI PureHVNC – déclenche la règle de détection $queries = @( "SELECT Caption FROM Win32_OperatingSystem", "SELECT * FROM AntiVirusProduct", "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')" ) foreach ($q in $queries) { # Utilise wmic pour exécuter la requête; wmic imprime la sortie sur stdout wmic /namespace:rootcimv2 path __Namespace where "Name='root'" call CreateInstance $q 2>$null # Force une courte pause pour s'assurer que chaque événement est enregistré séparément Start-Sleep -Milliseconds 500 } -
Commandes de Nettoyage :
# Supprimer tous les fichiers temporaires et terminer les processus wmic persistants Get-Process wmic -ErrorAction SilentlyContinue | Stop-Process -Force # Aucun artefact persistant n'est créé par le script ci-dessus.