StealC et Amadey : Analyse des Voleurs d’Informations et des Services qu’ils Utilisent
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le rapport examine les activités de StealC, une plateforme d’infostealer en tant que service, et Amadey, un chargeur de malware en tant que service. Les cybercriminels utilisent ces outils pour collecter des identifiants sensibles, des cookies de session et des données liées aux cryptomonnaies, permettant des opérations supplémentaires comme les attaques par ransomware. L’écosystème des menaces repose sur le trafic Web trompeur, l’empoisonnement SEO et les campagnes de phishing pour compromettre les appareils non gérés.
Investigation
L’unité des crimes numériques de Microsoft, en collaboration avec Europol, a mené une perturbation coordonnée contre plus de 200 domaines malveillants et adresses IP de commande et de contrôle liés à StealC et Amadey. Les enquêteurs ont utilisé Microsoft Copilot pour analyser les échantillons de malware, décrypter les chaînes codées en dur et découvrir l’infrastructure de commande et de contrôle intégrée. L’opération a conduit à la mise hors service et à la suspension d’une partie significative de l’infrastructure de support des acteurs de la menace.
Atténuation
Les défenseurs devraient activer la protection cloud et la protection contre les altérations dans Microsoft Defender pour aider à bloquer les variantes nouvelles et évolutives. L’application des règles de réduction de la surface d’attaque peut également réduire l’exposition aux chemins d’infection courants tels que le trafic Web trompeur. De plus, les organisations devraient renforcer la protection des identités et l’hygiène des identifiants pour limiter l’impact des jetons de session volés et des comptes compromis.
Réponse
Lorsque cette activité est détectée, les organisations devraient prioriser la protection des identités et le confinement rapide pour empêcher que les identifiants volés ne soient utilisés pour le mouvement latéral. Les enquêteurs devraient examiner de près les scénarios possibles de contournement de la MFA causés par le vol de cookies de session. Les points de terminaison compromis devraient être isolés rapidement et la télémétrie d’authentification devrait être surveillée pour détecter toute activité inhabituelle impliquant des identifiants d’utilisateur valides.
"flowchart TD step_initial_access{"Accès Initial : T1189 – Compromission par Drive-by & T1674 – Injection d’Entrée (ClickFix)"} step_persistence_amadey["Persistance : T1037.004 – Tâche Planifiée & T1059.003 – Shell de Commande Windows (Chargeur Amadey)"] rules_for_step_persistence_amadey("<b>Nom de la Règle</b> : MsiExec Lancé par un Processus Shell (via cmdline)<br/><b>ID de la Règle</b> : d59d37c0-fc3c-4374-ba67-318edd591d19") step_credential_harvesting["Accès aux Identifiants : T1555.003 – Identifiants des Navigateurs Web, T1114.002 – Collecte d’Emails à Distance & T1552.008 – Messages de Chat (Infostealer StealC)"] step_stealth["Évasion de Défense : T1070.010 – Relocaliser le Malware (exécution en crique PowerShell)"] step_exfiltration["Exfiltration : T1041 – Exfiltration via le Canal C2 (transmission de données RC4/Base64)"] step_initial_access –>|conduit_à| step_persistence_amadey step_persistence_amadey –>|permet| step_credential_harvesting step_credential_harvesting –>|puis| step_stealth step_stealth –>|conduit_à| step_exfiltration step_persistence_amadey -.->|détecté_par| rules_for_step_persistence_amadey "
Flux d’Attaque
Détections
Utilisation Possible de Timeout pour Retarder l’Exécution (via cmdline)
Voir
Téléchargement ou Téléversement via Powershell (via cmdline)
Voir
MsiExec Lancé par un Processus Shell (via cmdline)
Voir
Création de Tâche Planifiée pour la Persistance du Malware Amadey [Journal des Événements de Sécurité Microsoft Windows]
Voir
Détection de l’Exécution du Malware StealC et de l’Injection de Processus [Création de Processus Windows]
Voir
## Exécution de la Simulation
Prérequis : Le contrôle préalable de Télémétrie & Base doit être réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des erreurs de diagnostic.
-
Narratif d’Attaque & Commandes : Un adversaire a réussi à déposer un exécutable malveillant nommé
StealC.exe. Pour échapper à la détection par signature simple et tenter de masquer sa routine d’injection, le malware est conçu pour appeler ses fonctions internes en passant le nom des API Windows requises comme arguments de ligne de commande à un sous-processus. Cela simule une approche « Living-off-the-Land » où la ligne de commande elle-même contient les indicateurs de l’intention de réaliserCreateProcessAavecCREATE_SUSPENDEDet utiliser ensuiteVirtualAllocExandWriteProcessMemorypour l’injection. -
Script de Test de Régression :
# Script de simulation pour déclencher la règle Sigma en imitant les chaînes de commande attendues # Remarque : Cela simule la présence des chaînes, pas l'exécution réelle des API. $malwareName = "StealC.exe" $payloadArgs = "CreateProcessA CREATE_SUSPENDED VirtualAllocEx WriteProcessMemory" Write-Host "[+] Démarrage de la simulation : Exécution de $malwareName avec des chaînes d'injection..." -ForegroundColor Cyan # Nous créons un fichier fictif nommé StealC.exe pour satisfaire la partie 'Image' de la détection New-Item -Path ".$malwareName" -ItemType "File" -Force | Out-Null # Exécutez le fichier fictif avec les chaînes spécifiques requises par la logique de détection # Dans un scénario réel, ce serait le malware s'exécutant. Start-Process -FilePath ".$malwareName" -ArgumentList $payloadArgs -WindowStyle Hidden Write-Host "[+] Commande de simulation envoyée." -ForegroundColor Green -
Commandes de Nettoyage :
# Nettoyage : Supprimez le fichier de malware fictif créé lors de la simulation Remove-Item -Path ".StealC.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Nettoyage terminé : StealC.exe supprimé." -ForegroundColor Yellow