SOC Prime Bias: Critique

16 Jun 2026 05:47 UTC

Analyse de SHEET#CREEP : Le Malware Revient avec une Nouvelle Obfuscation de la Configuration

Author Photo
SOC Prime Team linkedin icon Suivre
Analyse de SHEET#CREEP : Le Malware Revient avec une Nouvelle Obfuscation de la Configuration
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Une opération d’espionnage active connue sous le nom de SHEETCREEP repose sur un trojan d’accès distant en C# qui utilise l’API Google Sheets pour le commandement et le contrôle. Les attaquants délivrent le malware via une attraction de phishing au thème diplomatique sous forme de fichier ISO, après quoi le RAT établit sa persistance et exécute des commandes grâce à un espace de travail PowerShell en cours de processus. Les échantillons récents montrent que les opérateurs ont renforcé le malware en introduisant une obfuscation basée sur XOR pour les données de configuration.

Enquête

L’équipe de recherche sur les menaces de Securonix a découvert la campagne en extrayant des identifiants de compte de service Google Cloud intégrés depuis le binaire du RAT. Après s’être authentifiés à la feuille de calcul de commande et de contrôle en direct, les chercheurs ont identifié 91 onglets de victimes actifs, y compris des bacs à sable, des environnements de recherche, et une victime à haute confiance située au Pakistan. Leur analyse a également montré que la protection de la configuration du malware avait évolué grâce à une approche d’obfuscation mise à jour.

Atténuation

Les organisations devraient éviter d’ouvrir les pièces jointes non sollicitées, en particulier les fichiers ISO contenant des fichiers de raccourci LNK. Les défenseurs devraient surveiller le %LOCALAPPDATA%MicrosoftVault répertoire pour les exécutables suspects et examiner les tâches planifiées pour des entrées trompeuses ou inattendues. Une visibilité forte de l’endpoint grâce à des outils comme Sysmon et AMSI peut également aider à détecter l’activité PowerShell en cours de processus liée à ce malware.

Réponse

Si un trafic HTTPS inhabituel vers les services API Google est observé à partir de processus non-navigateurs, le système affecté devrait être isolé immédiatement. Les équipes de sécurité devraient inspecter les tâches planifiées à la recherche d’éléments non autorisés tels que WindowsVaultSyncService. Un examen judiciaire de %LOCALAPPDATA%MicrosoftVault devrait également être effectué pour identifier les binaires cachés ou attribués au système associés à l’intrusion.

Flux d’Attaque

Exécution de Simulation

Prérequis : Le Vérification Pré-vol de la Télémétrie & de la Ba seline doit avoir été réussie.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et récits DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un faux diagnostic.

  • Narratif et Commandes d’Attaque : L’adversaire vise à établir la persistance et à exécuter un trojan d’accès à distance (RAT) en utilisant la technique SHEETCREEP. Tout d’abord, ils simulent l’exécution initiale via un fichier LNK malveillant qui appelle cmd.exe pour lancer un exécutable suspect particulier. Ensuite, ils établissent la persistance en créant une tâche planifiée nommée WindowsVaultSyncService avec une description trompeuse pour se fondre dans les mises à jour système. Enfin, ils déploient la charge utile vaultsvc.exe dans le C:UsersAppDataLocalMicrosoftVault répertoire et l’exécutent pour déclencher la dernière partie de la logique de détection.

  • Script de Test de Régression :

    # Script de Simulation SHEETCREEP
    # Remarque : Ce script doit être exécuté avec des privilèges administratifs pour créer des tâches planifiées.
    $targetDir = "$env:LOCALAPPDATAMicrosoftVault"
    $payloadName = "vaultsvc.exe"
    $payloadPath = "$targetDir$payloadName"
    $taskName = "WindowsVaultSyncService"
    $taskDesc = "Tâche de Mise à Jour Windows Edge Core Discord Update"
    Write-Host "[+] Démarrage de la Simulation de SHEETCREEP..." -ForegroundColor Cyan
    # 1. Simuler la Sélection 1 : Exécution CMD avec une chaîne spécifique
    Write-Host "[+] Simulation de la Sélection 1 : Modèle de commande CMD..." -ForegroundColor Yellow
    Start-Process cmd.exe -ArgumentList '/c start "" "Document_11052026-03578240540350-93.exe"' -WindowStyle Hidden
    # 2. Simuler la Sélection 2 : Création de Tâche Planifiée
    Write-Host "[+] Simulation de la Sélection 2 : création de Tâche Planifiée..." -ForegroundColor Yellow
    $action = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c echo Persistance Établie"
    $trigger = New-ScheduledTaskTrigger -AtLogOn
    Register-ScheduledTask -Action $action -Trigger $trigger -TaskName $taskName -Description $taskDesc -Force
    # 3. Simuler la Sélection 3 : Placement et Exécution de la Charge Utile
    Write-Host "[+] Simulation de la Sélection 3 : Déploiement et exécution de la charge utile..." -ForegroundColor Yellow
    if (!(Test-Path $targetDir)) {
        New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
    }
    # Créer un fichier binaire fictif pour imiter le RAT
    New-Item -Path $payloadPath -ItemType File -Force | Out-Null
    # Exécuter la charge utile fictive
    Start-Process -FilePath $payloadPath -WindowStyle Hidden -ErrorAction SilentlyContinue
    Write-Host "[+] Commandes de simulation envoyées. Vérifiez les alertes SIEM." -ForegroundColor Green
  • Commandes de Nettoyage :

    # Nettoyage de la Simulation SHEETCREEP
    $targetDir = "$env:LOCALAPPDATAMicrosoftVault"
    $payloadPath = "$targetDirvaultsvc.exe"
    $taskName = "WindowsVaultSyncService"
    Write-Host "[+] Nettoyage des artefacts de simulation..." -ForegroundColor Cyan
    # Supprimer la Tâche Planifiée
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$false -ErrorAction SilentlyContinue
    # Supprimer la Charge Utile et le Répertoire
    if (Test-Path $payloadPath) { Remove-Item $payloadPath -Force }
    if (Test-Path $targetDir) { Remove-Item $targetDir -Recurse -Force }
    Write-Host "[+] Nettoyage terminé." -ForegroundColor Green