Analyse de SHEET#CREEP : Le Malware Revient avec une Nouvelle Obfuscation de la Configuration
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Une opération d’espionnage active connue sous le nom de SHEETCREEP repose sur un trojan d’accès distant en C# qui utilise l’API Google Sheets pour le commandement et le contrôle. Les attaquants délivrent le malware via une attraction de phishing au thème diplomatique sous forme de fichier ISO, après quoi le RAT établit sa persistance et exécute des commandes grâce à un espace de travail PowerShell en cours de processus. Les échantillons récents montrent que les opérateurs ont renforcé le malware en introduisant une obfuscation basée sur XOR pour les données de configuration.
Enquête
L’équipe de recherche sur les menaces de Securonix a découvert la campagne en extrayant des identifiants de compte de service Google Cloud intégrés depuis le binaire du RAT. Après s’être authentifiés à la feuille de calcul de commande et de contrôle en direct, les chercheurs ont identifié 91 onglets de victimes actifs, y compris des bacs à sable, des environnements de recherche, et une victime à haute confiance située au Pakistan. Leur analyse a également montré que la protection de la configuration du malware avait évolué grâce à une approche d’obfuscation mise à jour.
Atténuation
Les organisations devraient éviter d’ouvrir les pièces jointes non sollicitées, en particulier les fichiers ISO contenant des fichiers de raccourci LNK. Les défenseurs devraient surveiller le %LOCALAPPDATA%MicrosoftVault répertoire pour les exécutables suspects et examiner les tâches planifiées pour des entrées trompeuses ou inattendues. Une visibilité forte de l’endpoint grâce à des outils comme Sysmon et AMSI peut également aider à détecter l’activité PowerShell en cours de processus liée à ce malware.
Réponse
Si un trafic HTTPS inhabituel vers les services API Google est observé à partir de processus non-navigateurs, le système affecté devrait être isolé immédiatement. Les équipes de sécurité devraient inspecter les tâches planifiées à la recherche d’éléments non autorisés tels que WindowsVaultSyncService. Un examen judiciaire de %LOCALAPPDATA%MicrosoftVault devrait également être effectué pour identifier les binaires cachés ou attribués au système associés à l’intrusion.
Flux d’Attaque
Détections
Utilisation Possible du Choix pour Retarder l’Exécution (via cmdline)
Voir
Image Optique VHDMP Montée (via VHDMP)
Voir
Tâche Planifiée Suspecte (via audit)
Voir
Activité Potentiellement Suspecte de l’Utile de Commande et de Contrôle Google (via proxy)
Voir
IOCs (HashSha256) pour détecter : Analyse de SHEET#CREEP : SHEETCREEP est de retour avec une obfuscation de configuration différente
Voir
IOCs (SourceIP) pour détecter : Analyse de SHEET#CREEP : SHEETCREEP est de retour avec une obfuscation de configuration différente
Voir
IOCs (DestinationIP) pour détecter : Analyse de SHEET#CREEP : SHEETCREEP est de retour avec une obfuscation de configuration différente
Voir
Détection de la Communication C2 de Sheet#CREEP via l’API Google Sheets [Pare-feu]
Voir
Détecter l’Utilisation du Mutex du Malware SHEET#CREEP [Windows Sysmon]
Voir
Détection des Modèles de Persistance et d’Exécution de SHEETCREEP [Création de Processus Windows]
Voir
Exécution de Simulation
Prérequis : Le Vérification Pré-vol de la Télémétrie & de la Ba seline doit avoir été réussie.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et récits DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un faux diagnostic.
-
Narratif et Commandes d’Attaque : L’adversaire vise à établir la persistance et à exécuter un trojan d’accès à distance (RAT) en utilisant la technique SHEETCREEP. Tout d’abord, ils simulent l’exécution initiale via un fichier LNK malveillant qui appelle
cmd.exepour lancer un exécutable suspect particulier. Ensuite, ils établissent la persistance en créant une tâche planifiée nomméeWindowsVaultSyncServiceavec une description trompeuse pour se fondre dans les mises à jour système. Enfin, ils déploient la charge utilevaultsvc.exedans leC:Usersrépertoire et l’exécutent pour déclencher la dernière partie de la logique de détection.AppDataLocalMicrosoftVault -
Script de Test de Régression :
# Script de Simulation SHEETCREEP # Remarque : Ce script doit être exécuté avec des privilèges administratifs pour créer des tâches planifiées. $targetDir = "$env:LOCALAPPDATAMicrosoftVault" $payloadName = "vaultsvc.exe" $payloadPath = "$targetDir$payloadName" $taskName = "WindowsVaultSyncService" $taskDesc = "Tâche de Mise à Jour Windows Edge Core Discord Update" Write-Host "[+] Démarrage de la Simulation de SHEETCREEP..." -ForegroundColor Cyan # 1. Simuler la Sélection 1 : Exécution CMD avec une chaîne spécifique Write-Host "[+] Simulation de la Sélection 1 : Modèle de commande CMD..." -ForegroundColor Yellow Start-Process cmd.exe -ArgumentList '/c start "" "Document_11052026-03578240540350-93.exe"' -WindowStyle Hidden # 2. Simuler la Sélection 2 : Création de Tâche Planifiée Write-Host "[+] Simulation de la Sélection 2 : création de Tâche Planifiée..." -ForegroundColor Yellow $action = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c echo Persistance Établie" $trigger = New-ScheduledTaskTrigger -AtLogOn Register-ScheduledTask -Action $action -Trigger $trigger -TaskName $taskName -Description $taskDesc -Force # 3. Simuler la Sélection 3 : Placement et Exécution de la Charge Utile Write-Host "[+] Simulation de la Sélection 3 : Déploiement et exécution de la charge utile..." -ForegroundColor Yellow if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force | Out-Null } # Créer un fichier binaire fictif pour imiter le RAT New-Item -Path $payloadPath -ItemType File -Force | Out-Null # Exécuter la charge utile fictive Start-Process -FilePath $payloadPath -WindowStyle Hidden -ErrorAction SilentlyContinue Write-Host "[+] Commandes de simulation envoyées. Vérifiez les alertes SIEM." -ForegroundColor Green -
Commandes de Nettoyage :
# Nettoyage de la Simulation SHEETCREEP $targetDir = "$env:LOCALAPPDATAMicrosoftVault" $payloadPath = "$targetDirvaultsvc.exe" $taskName = "WindowsVaultSyncService" Write-Host "[+] Nettoyage des artefacts de simulation..." -ForegroundColor Cyan # Supprimer la Tâche Planifiée Unregister-ScheduledTask -TaskName $taskName -Confirm:$false -ErrorAction SilentlyContinue # Supprimer la Charge Utile et le Répertoire if (Test-Path $payloadPath) { Remove-Item $payloadPath -Force } if (Test-Path $targetDir) { Remove-Item $targetDir -Recurse -Force } Write-Host "[+] Nettoyage terminé." -ForegroundColor Green