Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les laboratoires Bitdefender ont identifié une intrusion à plusieurs vagues ciblant une entreprise pétrolière et gazière azérie entre décembre 2025 et février 2026. Les attaquants ont exploité les chaînes ProxyShell et ProxyNotShell pour compromettre Microsoft Exchange, puis ont déployé les portes dérobées Deed RAT et Terndoor via des techniques avancées de chargement latéral de DLL tout en revenant à plusieurs reprises par le même point d’accès initial. Bitdefender a attribué cette activité avec une confiance modérée à élevée au groupe APT FamousSparrow lié à la Chine. La campagne a également mis en avant des méthodes d’évasion sophistiquées, y compris l’accroche API et l’activation de chargeurs en plusieurs étapes.
Enquête
Les chercheurs ont documenté trois vagues d’activité distinctes. La première impliquait le déploiement d’une coquille web sur Exchange, suivie de la livraison de Deed RAT à l’aide d’un service ressemblant à LogMeIn Hamachi. La deuxième vague a tenté de déployer Terndoor via une chaîne USOShared et basée sur un pilote, tandis que la vague finale est revenue à Deed RAT avec des données de configuration mises à jour. L’analyse technique a révélé une cryptographie personnalisée, des routines de décryptage RC4 et AES-CBC, des compressions LZNT1 et Deflate, et une structure d’en-tête similaire à un PE personnalisée. Les attaquants ont ensuite bougé latéralement via RDP en utilisant un compte administrateur de domaine et ont employé des outils SMB du cadre Impacket.
Atténuation
Les organisations doivent corriger leurs serveurs Exchange sans délai et remédier à toutes les expositions connues à ProxyShell et ProxyNotShell. La segmentation du réseau peut aider à réduire l’impact de la réutilisation des identifiants et du mouvement latéral. Les défenseurs doivent également déployer des détections comportementales pour le chargement latéral de DLL, l’accroche API et la création de services suspects. Des contrôles stricts sur l’accès RDP privilégié et les outils d’exécution à distance basés sur SMB sont également recommandés.
Réponse
Les équipes de sécurité doivent alerter sur la création de fichiers de coquilles web dans les répertoires IIS, des services Windows inattendus nommés LogMeIn Hamachi, et des enregistrements de services de pilotes lancés depuis des chemins écrits par l’utilisateur. Le trafic HTTPS vers des domaines inhabituels tels que virusblocker.it.com and sentinelonepro.com devrait être corrélé avec d’autres activités suspectes. Les enquêteurs devraient également examiner tout processus qui charge StartServiceCtrlDispatcherW ou charge des DLL suspectes à côté de binaires légitimes.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef technique fill:#e0e0e0 %% Node definitions initial_access["<b>Accès Initial</b> – <b>T1210 Exploitation de Services à Distance</b><br/><b>Technique ID</b>: T1210<br/><b>Description</b>: Exploiter un service à distance vulnérable tel qu’un serveur Exchange en utilisant ProxyShell ou ProxyNotShell."] class initial_access action persistence_webshell["<b>Persistance</b> – <b>T1505.003 Coquille Web</b><br/><b>Technique ID</b>: T1505.003<br/><b>Description</b>: Déployer une coquille web sur un serveur compromis pour un accès persistant."] class persistence_webshell action malicious_service["<b>Persistance</b> – <b>T1569 Services Système</b><br/><b>Technique ID</b>: T1569<br/><b>Description</b>: Créer un service malveillant se faisant passer pour LogMeIn Hamachi pour la persistance."] class malicious_service action tool_logmein["<b>Outil</b> – <b>Nom</b>: LogMeIn Hamachi<br/><b>Description</b>: Service VPN légitime utilisé comme déguisement."] class tool_logmein tool execution_proxy["<b>Exécution</b> – <b>T1218 Exécution de Proxy de Binaire Signé</b><br/><b>Technique ID</b>: T1218<br/><b>Description</b>: Utiliser un binaire système légitime pour lancer du code malveillant."] class execution_proxy action execution_masquerade["<b>Exécution</b> – <b>T1036 Masquage</b><br/><b>Technique ID</b>: T1036<br/><b>Description</b>: Renommer l’exécutable malveillant en LMIGuardianSvc.exe pour se fondre dans le décors."] class execution_masquerade action malware_lmi["<b>Malware</b> – <b>Nom</b>: LMIGuardianSvc.exe<br/><b>Description</b>: Charge une DLL malveillante après exécution."] class malware_lmi malware defense_reflective["<b>Évasion Défensive</b> – <b>T1620 Chargement de Code Réfléchissant</b><br/><b>Technique ID</b>: T1620<br/><b>Description</b>: Charger le code en mémoire sans toucher au disque."] class defense_reflective action defense_processhollow["<b>Évasion Défensive</b> – <b>T1055.012 Creusement de Processus</b><br/><b>Technique ID</b>: T1055.012<br/><b>Description</b>: Remplacer la mémoire d’un processus légitime par du code malveillant."] class defense_processhollow action defense_threadhijack["<b>Évasion Défensive</b> – <b>T1055.003 Détournement de Fil</b><br/><b>Technique ID</b>: T1055.003<br/><b>Description</b>: Détourner les fils d’un processus en cours."] class defense_threadhijack action defense_hide["<b>Évasion Défensive</b> – <b>T1564.010 Cacher les Artéfacts</b><br/><b>Technique ID</b>: T1564.010<br/><b>Description</b>: Dissimuler les composants malveillants de la détection."] class defense_hide action payload_decrypt["<b>Traitement de Charge Utile</b> – <b>T1560.003 Décompression d’Archive</b><br/><b>Technique ID</b>: T1560.003<br/><b>Description</b>: Décrypter et décompresser la charge utile avant exécution."] class payload_decrypt action lateral_movement["<b>Mouvement Latéral</b> – <b>T1078 Comptes Valides</b><br/><b>Technique ID</b>: T1078<br/><b>Description</b>: Utiliser des identifiants volés pour se déplacer latéralement via RDP et parts d’administration SMB."] class lateral_movement action tool_impacket["<b>Outil</b> – <b>Nom</b>: Impacket<br/><b>Description</b>: Bibliothèque Python pour protocoles réseau utilisée pour pivoter."] class tool_impacket tool c2_https["<b>Commande et Contrôle</b> – <b>T1071.001 Protocoles Web HTTPS</b><br/><b>Technique ID</b>: T1071.001<br/><b>Description</b>: Communiquer avec le serveur C2 via HTTPS chiffré."] class c2_https action c2_contentinject["<b>Commande et Contrôle</b> – <b>T1659 Injection de Contenu</b><br/><b>Technique ID</b>: T1659<br/><b>Description</b>: Injecter du contenu malveillant dans des réponses HTTP légitimes."] class c2_contentinject action impact_kernel["<b>Impact</b> – <b>T1014 Rootkit</b><br/><b>Technique ID</b>: T1014<br/><b>Description</b>: Tenter d’installer le pilote noyau Terndoor pour une persistance profonde."] class impact_kernel action %% Connections initial_access –>|leads_to| persistence_webshell persistence_webshell –>|leads_to| malicious_service malicious_service –>|uses| tool_logmein malicious_service –>|leads_to| execution_proxy execution_proxy –>|uses| execution_masquerade execution_masquerade –>|loads| malware_lmi malware_lmi –>|performs| defense_reflective defense_reflective –>|performs| defense_processhollow defense_processhollow –>|performs| defense_threadhijack defense_threadhijack –>|performs| defense_hide defense_hide –>|enables| payload_decrypt payload_decrypt –>|enables| lateral_movement lateral_movement –>|uses| tool_impacket lateral_movement –>|leads_to| c2_https c2_https –>|uses| c2_contentinject c2_contentinject –>|enables| impact_kernel "
Flux d’Attaque
Détections
Exploitation Possible d’un Serveur Web ou d’une Application Web [Windows] (via cmdline)
Voir
Logiciels Alternatifs d’Accès à Distance / de Gestion (via process_creation)
Voir
Tentative de Communications avec le Domaine de Recherche IP Possible (via dns)
Voir
IOC (HashMd5) pour détecter : APT FamousSparrow Cible l’Industrie du Pétrole et du Gaz en Azerbaïdjan
Voir
Détection de Communication de Commande-et-Contrôle Deed RAT [Connexion Réseau Windows]
Voir
Chargement de DLL par FamousSparrow APT dans l’Industrie du Pétrole et du Gaz en Azerbaïdjan [Événement Fichier Windows]
Voir
## Exécution de la Simulation
Prérequis : Le Contrôle Pré-vol de la Télémétrie et du Baseline doit avoir réussi.
-
Narration & Commandes d’Attaque :
Un adversaire exploitant le Deed RAT souhaite établir un canal C2 persistant pour exfiltrer des données et recevoir des commandes. En utilisant PowerShell (T1059.001), le RAT initie une requête GET HTTPS vers l’hôte malveillant codé en dur
sentinelonepro.comsur le port 443 (T1071.001). Comme la connexion est sortante, elle traverse le pare-feu Windows et est capturée par Sysmon en tant qu’unNetworkConnectévénement. La règle de détection doit se déclencher sur cet événement. -
Script de Test de Régression :
<# Simulation C2 de Deed RAT – crée une connexion HTTPS sortante en direction de l'hôte malveillant connu (sentinelonepro.com) sur le port 443. Ce script est sûr pour le test en laboratoire isolé ; le domaine se résout en une IP non-routable (127.0.0.1) pour éviter de contacter une infrastructure C2 réelle. #> # Remplacer la résolution DNS pour plus de sécurité (optionnel) $hostsPath = "$env:SystemRootSystem32driversetchosts" if (-not (Select-String -Path $hostsPath -Pattern "sentinelonepro.com")) { Add-Content -Path $hostsPath -Value "`n127.0.0.1 sentinelonepro.com" } # Effectuer la requête HTTPS (trafic C2 simulé) try { $response = Invoke-WebRequest -Uri "https://sentinelonepro.com/heartbeat" ` -UseBasicParsing ` -Headers @{ "User-Agent" = "DeedRAT/1.0" } ` -TimeoutSec 10 Write-Host "C2 request completed, status code:" $response.StatusCode } catch { Write-Warning "C2 request failed (expected in isolated lab): $_" } -
Commandes de Nettoyage :
# Supprimer l'entrée temporaire de hosts $hostsPath = "$env:SystemRootSystem32driversetchosts" (Get-Content $hostsPath) | Where-Object { $_ -notmatch "sentinelonepro.com" } | Set-Content $hostsPath # Effacer tous fichiers résiduels Remove-Item -Path "$env:TEMPexample.html" -ErrorAction SilentlyContinue