SOC Prime Bias: Critique

30 Jun 2026 06:48 UTC

KimJongRAT Continue d’Évoluer en Exploitant des Sites de Confiance

Author Photo
SOC Prime Team linkedin icon Suivre
KimJongRAT Continue d’Évoluer en Exploitant des Sites de Confiance
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Une récente campagne KimJongRAT a été observée utilisant GitHub Releases et Google Drive comme plateformes de confiance pour héberger et diffuser des logiciels malveillants. Cette variante mise à jour mélange les fonctionnalités d’InfoStealer et de RAT tout en s’appuyant sur des techniques de Living Off Trusted Sites (LOTS) pour réduire les chances de détection. Elle a également évolué pour récupérer dynamiquement les adresses de commande et contrôle depuis Google Drive, réduisant ainsi le besoin de recompiler à répétition.

Enquête

L’enquête a examiné une campagne de mai 2026 dans laquelle les victimes ont été redirigées via des liens raccourcis vers des archives ZIP hébergées sur GitHub contenant des fichiers LNK malveillants. Les chercheurs ont cartographié la chaîne d’exécution, y compris l’exploitation de mshta.exe, VBScript et PowerShell pour lancer des charges utiles en plusieurs étapes. L’analyse a également révélé une nouvelle capacité impliquant le déploiement de MeshAgent pour un accès à distance à long terme.

Atténuation

Les organisations doivent appliquer des contrôles stricts sur l’exécution des fichiers LNK et mshta.exe lorsqu’ils proviennent de sources non fiables. Surveiller le comportement suspect de PowerShell, y compris les commandes encodées en Base64 et les téléchargements à partir de services cloud tels que Google Drive et GitHub, est essentiel. Restreindre les outils de gestion à distance non autorisés comme MeshAgent peut limiter davantage l’impact de la compromission.

Réponse

Si cette activité est détectée, isolez immédiatement les hôtes touchés pour éviter le mouvement latéral et l’exfiltration de données. Effectuez une analyse de la mémoire pour identifier les DLL malveillantes ou les composants PowerShell actifs. Examinez les journaux d’accès à Google Drive et GitHub pour toute activité inhabituelle liée à l’infrastructure identifiée, et mettez à jour les détections des points de terminaison avec les indicateurs de compromission extraits.

"flowchart TD step_initial_access["T1566.001 & T1566.002 u2013 Phishing : Attaque par phishing/courriel : Attiré via des URL raccourcies pour télécharger tax_edoc.zip depuis GitHub"] step_user_execution["T1204.002 u2013 Exécution par l’utilisateur : Fichier malveillant : La victime ouvre un fichier LNK malveillant à partir du ZIP extrait"] rules_for_user_execution("<b>Nom de la règle</b> : Exécution à partir d’une archive ZIP [7zip] (via la création de processus)<br/><b>ID de la règle</b> : 43917da8-4e9a-4cd2-b3f9-dc60e2326534") step_proxy_execution["T1218.005 u2013 Exécution de proxy binaire système : Mshta : Utilise Mshta pour télécharger et exécuter pdfko.zip depuis GitHub"] step_script_execution["T1218.001 & T1216.002 u2013 Exécution de proxy binaire/scripting système : VBScript obfusqué dans HTA utilise un fichier HTML compilé et SyncAppvPublishingServer"] step_decoy_steganography["T1027.003 u2013 Fichiers ou informations obfusqués : Stéganographie : Télécharge un document leurre pour distraire l’utilisateur"] step_branching{"Vérification de l’environnement : Détermine si Windows Defender est actif"} step_defender_inactive["T1027 & T1218.011 u2013 Fichiers obfusqués & Rundll32 : Télécharge user.txt/sys.log chiffrés via AES/RC4 et exécute sys.dll"] step_defender_active["T1027.006 u2013 Fichiers ou informations obfusqués : HTML Smuggling : Exécute PowerShell 1.ps1 pour déchiffrer KimJongRAT"] step_persistence_c2["T1219 & T1568 & T1578 u2013 Persistance & C2 : Installe MeshAgent et utilise la résolution dynamique via Google Drive pour mettre à jour les adresses C2"] step_initial_access –>|mène_à| step_user_execution step_user_execution –>|mène_à| step_proxy_execution step_user_execution -.->|détecté_par| rules_for_user_execution step_proxy_execution –>|mène_à| step_script_execution step_script_execution –>|mène_à| step_decoy_steganography step_decoy_steganography –>|mène_à| step_branching step_branching –>|si_inactif| step_defender_inactive step_branching –>|si_actif| step_defender_active step_defender_inactive –>|mène_à| step_persistence_c2 step_defender_active –>|mène_à| step_persistence_c2 "

Flux d’attaque

Exécution de simulation

Prérequis : Le contrôle préalable à l’exécution des télémétries et des lignes de base doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des erreurs de diagnostic.

  • Narration et commandes d’attaque : L’adversaire a réussi à prendre pied et tente d’exécuter la charge utile KimJongRAT. Pour échapper aux détections basées sur des signatures simples, le malware est conçu pour exécuter un script PowerShell dans une fenêtre cachée, contournant la politique d’exécution, et passant un nom de fichier journal spécifique comme paramètre pour gérer sa configuration chiffrée. L’objectif est d’établir un cheval de Troie d’accès à distance (RAT) persistant et furtif sur la machine de la victime. Nous exécuterons le modèle de commande exact identifié dans la règle de détection pour valider la logique « selection_execute ».

  • Script de test de régression :

    # Simulation du schéma d'exécution de KimJongRAT
    # Cela crée un script fictif pour satisfaire l'exigence '-File'
    "Write-Output 'Simulation de la charge utile KimJongRAT'" | Out-File -FilePath "1.ps1" -Encoding ascii
    
    # Exécution de la commande qui déclenche la règle de détection
    # Remarque : Ceci est exécuté de manière à imiter exactement les arguments de la ligne de commande.
    Start-Process powershell.exe -ArgumentList "-ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -File 1.ps1 -FileName 1.log" -WindowStyle Hidden
  • Commandes de nettoyage :

    # Supprimer les fichiers factices créés pendant la simulation
    Remove-Item -Path "1.ps1" -ErrorAction SilentlyContinue
    Remove-Item -Path "1.log" -ErrorAction SilentlyContinue