Opération Accès Dissimulé : Hameçonnage Ciblé à LNK Armé Visant le Secteur Judiciaire Argentin pour Déployer un RAT Caché
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Seqrite a identifié une opération de spear-phishing qui livre un raccourci LNK armé associé à un chargeur BAT malveillant. Une fois exécuté, le chargeur télécharge un cheval de Troie d’accès à distance basé sur Rust à partir d’un dépôt GitHub, où il effectue des vérifications anti-analyse et établit un canal de commande et de contrôle résilient. L’activité est évaluée pour cibler les organisations judiciaires argentines et les entités gouvernementales adjacentes. Pour augmenter les chances d’exécution, les attaquants incluent un contenu PDF leurre d’apparence légitime dans le paquet de livraison.
Enquête
Les analystes ont examiné l’archive ZIP contenant les fichiers LNK, BAT et PDF, puis ont reconstruit la séquence de commandes PowerShell utilisée pour déclencher le chargeur BAT. Ils ont profilé les fonctionnalités du RAT, y compris les vérifications anti-VM/anti-sandbox, la reconnaissance de l’hôte et l’empreinte système, la mise en place de la persistance et la gestion des tâches chiffrées sur le C2. Les comportements observés ont été mappés aux techniques MITRE ATT&CK pertinentes, avec des motifs notables tels que le déguisement, le contournement de la politique d’exécution PowerShell, et la logique C2 secondaire/de secours pour maintenir la connectivité si les canaux principaux échouent.
Atténuation
Appliquer une gouvernance stricte pour l’exécution de raccourcis (LNK), en particulier à partir de lieux destinés à l’écriture par les utilisateurs et des archives compressées, et appliquer des politiques d’exécution PowerShell renforcées avec une journalisation centralisée. Restreindre ou passer par proxy l’accès sortant aux répertoires GitHub non autorisés, et alerter sur les modèles suspects de téléchargement et d’exécution provenant des interpréteurs de scripts. Surveiller la persistance via les clés de registre Run ou les tâches planifiées portant des noms anormaux ou nouvellement observés. Lorsqu’il est possible, déployer des détections qui révèlent des comportements anti-analyse courants et s’assurer que les utilisateurs manipulant des PDF opèrent avec le moindre privilège pour réduire le rayon d’impact d’une exécution réussie.
Réponse
Déclenchez des alertes lorsque le LNK armé est créé ou exécuté, et lorsque la chaîne d’invocation PowerShell associée est observée. Chassez de manière proactive l’artéfact msedge_proxy.exe déposé et toute entrée de persistance liée dans le registre ou le planificateur de tâches. Isolez les points d’extrémité affectés, terminez l’arborescence de processus malveillante et supprimez toutes les tâches planifiées créées et les valeurs de clé Run. Effectuez une révision médico-légale complète pour valider l’étendue, confirmer si des données ont été mises en scène ou exfiltrées, et identifier tout hôte supplémentaire exposé au même modèle de livraison ZIP/LNK.
Flux d’attaque
Détections
Exécution de Binaire Nommé Microsoft Edge Hors de Program Files (via cmdline)
Voir
Vérifications Anti-VM Suspectes via Artéfacts de Pilote de Virtualisation (via cmdline)
Voir
Binaire Windows téléchargé depuis Github (via proxy)
Voir
Possibilité d’énumération du système (via cmdline)
Voir
IOC (SourceIP) à détecter : Opération Accès Clandestin : Hameçonnage ciblé basé sur LNK arme à destination du secteur judiciaire argentin pour déployer un RAT clandestin
Voir
IOC (DestinationIP) à détecter : Opération Accès Clandestin : Hameçonnage ciblé basé sur LNK arme à destination du secteur judiciaire argentin pour déployer un RAT clandestin
Voir
IOC (HashMd5) à détecter : Opération Accès Clandestin : Hameçonnage ciblé basé sur LNK arme à destination du secteur judiciaire argentin pour déployer un RAT clandestin
Voir
Hameçonnage ciblé basé sur LNK armé avec exécution PowerShell [Windows Powershell]
Voir
Détection de l’exécution de msedge_proxy.exe [Création de Processus Windows]
Voir
Exécution de Simulation
Conditions préalables : La vérification pré-aléatoire de la télémétrie et de la référence doit avoir été réussie.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTP identifiés et viser à générer la télémétrie exacte prévue par la logique de détection. Des exemples abstraits ou non liés entraîneront de mauvaises analyses.
-
Narration et Commandes de l’Attaque :
-
Compromission initiale : L’attaquant envoie un courriel de spear-phishing avec un
.lnkciblant un employé judiciaire. Le raccourci pointe vers une commande PowerShell exécutée avec-ExécutionPolicy Bypasset une fenêtre cachée pour éviter la suspicion. -
Flux d’Exécution : Lorsque l’utilisateur clique sur le raccourci, Windows exécute la commande suivante, qui lance
health-check.bat. Le fichier batch contient la véritable charge utile malveillante (par exemple, un téléchargeur PowerShell qui récupère un RAT).powershell.exe -ep bypass -w hidden -f health-check.bat -
Livraison de Charge Utile :
health-check.bateffectue un GET HTTP silencieux à un C2 malveillant, écrit la charge utile dans%TEMP%et l’exécute.
-
-
Script de Test de Régression : Le script ci-dessous reproduit la télémétrie exacte en créant
health-check.batavec contenu inoffensif (pour conserver la sécurité du test) et en invoquant ensuite la commande PowerShell.# ------------------------------------------------- # Script de Simulation – Exécution PowerShell LNK Armé # ------------------------------------------------- # 1. Créer un dummy health-check.bat (inoffensif pour le test) $batPath = "$env:TEMPhealth-check.bat" Set-Content -Path $batPath -Value '@echo off & echo Simulated payload executed' -Encoding ASCII # 2. Exécuter PowerShell avec les mêmes options et nom de script $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`"" Write-Host "Executing: $psCommand" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow # 3. Attendre quelques secondes pour s'assurer que les logs sont générés Start-Sleep -Seconds 5 # ------------------------------------------------- -
Commandes de Nettoyage : Supprimez le fichier batch de test et tous les processus restants.
# Nettoyer le dummy health-check.bat Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue # S'assurer qu'aucune instance PowerShell du test ne reste Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force