SOC Prime Bias: Elevé

24 Jun 2026 06:30 UTC
newspaper icon Seqrite Labs

Archives RAR armés utilisés pour cibler le secteur de la santé en Thaïlande

Author Photo
SOC Prime Team linkedin icon Suivre
Archives RAR armés utilisés pour cibler le secteur de la santé en Thaïlande
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

Une campagne de logiciels malveillants ciblée frappe activement le secteur de la santé en Thaïlande via des archives RAR armées. Ces archives contiennent des scripts batch obfusqués qui déclenchent une chaîne d’infection en plusieurs étapes et exécutent finalement un voleur d’informations basé sur Python. Le malware est conçu pour capturer les identifiants de navigateur et les cookies de session, puis exfiltrer les données volées via Telegram.

Enquête

Seqrite Lab a identifié une fenêtre de campagne active s’étendant sur dix semaines d’avril à juin 2026. Leur enquête a révélé une chaîne d’exécution complexe impliquant des chargeurs obfusqués Rouki, des charges utiles hébergées sur GitHub, et une persistance établie via le dossier de démarrage de Windows. Les analystes ont également observé des tentatives de vol d’informations à partir de navigateurs basés sur Chromium et de les envoyer via l’API Telegram Bot.

Atténuation

Les organisations devraient appliquer des contrôles stricts sur l’exécution de scripts et binaires non fiables obtenus à partir de sources externes. Une surveillance étroite des changements non autorisés au dossier de démarrage de Windows est essentielle. Les équipes de sécurité devraient également restreindre l’accès aux services d’hébergement de fichiers et de messagerie tels que GitHub et Telegram lorsqu’ils sont utilisés par des processus non approuvés.

Réponse

Si une infection est détectée, les intervenants doivent isoler les points de terminaison affectés immédiatement pour empêcher un vol de données supplémentaire. L’analyse forensique doit se concentrer sur les %TEMP% and AppData répertoires pour identifier les charges utiles secondaires et les artefacts connexes. L’historique du navigateur et les stockages d’identifiants doivent être examinés à la recherche de signes de compromission, et un processus de réinitialisation de mot de passe doit être initié pour tous les utilisateurs potentiellement affectés.

"graph TB %% Section des définitions de classe classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef exfiltration fill:#ffccff %% Définitions des nœuds action_phishing["<b>Action</b> – <b>T1566.001 Hameçonnage : Pièce jointe de spearphishing</b><br/>Description : E-mails sur le thème de la santé contenant<br/>des archives RAR malveillantes comme Health_Ministry_Approved_Equipment_2026.rar"] class action_phishing action action_user_exec["<b>Action</b> – <b>T1204.002 Exécution par l’utilisateur : Fichier malveillant</b><br/>Description : La victime ouvre l’archive et exécute<br/>le script batch malveillant embarqué"] class action_user_exec action tool_powershell["<b/>Outil – <b/>Nom : PowerShell<br/><b>Technique</b> – T1059.001 Interpréteur de commandes et de scripts : PowerShell<br/>Description : Utilisé pour décoder le contenu embarqué et<br/>initier le téléchargement des étapes suivantes"] class tool_powershell tool action_ingress["<b/>Action – <b/>T1105 Transfert d’outil d’ingress</b><br/>Description : Utilisation de PowerShell et curl pour télécharger<br/>les charges utiles secondaires à partir de dépôts hébergés sur GitHub"] class action_ingress action malware_persistence["<b/>Action – <b/>T1547.001 Exécution au démarrage ou à la connexion : Clés de registre Run / Dossier de démarrage</b><br/>Description : Le fichier batch malveillant WindowSecuryt.bat est<br/>placé dans le répertoire de démarrage de Windows pour persistance"] class malware_persistence persistence action_elevation["<b/>Action – <b>T1548 Détournement du mécanisme de contrôle d’élévation</b><br/>Description : La charge batch secondaire u-t2.bat tente<br/>de se relancer avec des privilèges élevés"] class action_elevation action malware_stealer["<b/>Malware – <b/>Nom : sim.py<br/>Description : Voleur d’informations basé sur Python<br/>conçu pour récolter des données sensibles"] class malware_stealer malware action_credentials["<b/>Action – <b>T1555.003 Identifiants des navigateurs web</b><br/>Description : Termine les processus de navigateur pour récolter<br/>les identifiants, cookies et artefacts de session"] class action_credentials action action_archive["<b/>Action – <b>T1560 Archiver les données collectées</b><br/>Description : Les données volées sont compressées dans des archives ZIP<br/>pour une collecte efficace"] class action_archive action action_exfiltration["<b/>Action – <b>T1567 Exfiltration via un service Web</b><br/>Description : Transmet les données récoltées à des canaux Telegram<br/>contrôlés par l’attaquant via l’API Telegram Bot"] class action_exfiltration exfiltration %% Section des connexions %% L’attaque commence par le hameçonnage action_phishing –>|leads_to| action_user_exec %% L’exécution par l’utilisateur déclenche l’interpréteur action_user_exec –>|triggers| tool_powershell %% PowerShell effectue l’ingress tool_powershell –>|executes| action_ingress %% L’ingress amène le mécanisme de persistance action_ingress –>|downloads| malware_persistence %% La persistance conduit à des tentatives d’élévation malware_persistence –>|initiates| action_elevation %% L’élévation conduit au déploiement du voleur action_elevation –>|deploys| malware_stealer %% Le voleur effectue la récolte d’identifiants malware_stealer –>|performs| action_credentials %% La récolte conduit à l’archivage action_credentials –>|results_in| action_archive %% L’archivage conduit à l’exfiltration finale action_archive –>|facilitates| action_exfiltration "

Flux d’attaque

Détections

Exécution suspecte de Taskkill (via cmdline)

Équipe de SOC Prime
23 juin 2026

Voir

Exécution de Python à partir de dossiers suspects (via cmdline)

Équipe de SOC Prime
23 juin 2026

Voir

Téléchargement suspect de PowerShell de fichier ZIP (via cmdline)

Équipe de SOC Prime
23 juin 2026

Voir

Téléchargement ou envoi via Powershell (via cmdline)

Équipe de SOC Prime
23 juin 2026

Voir

Exécution suspecte depuis le profil utilisateur public (via création de processus)

Équipe de SOC Prime
23 juin 2026

Voir

Utilisation suspecte de CURL (via cmdline)

Équipe de SOC Prime
23 juin 2026

Voir

Appel de méthodes .NET suspectes depuis Powershell (via powershell)

Équipe de SOC Prime
23 juin 2026

Voir

Binaire / Scripts suspects dans l’emplacement d’autostart (via événement de fichier)

Équipe de SOC Prime
23 juin 2026

Voir

Fichiers suspects dans le profil utilisateur public (via événement de fichier)

Équipe de SOC Prime
23 juin 2026

Voir

Possibilité d’abus de Telegram comme canal de commande et de contrôle (via dns_query)

Équipe de SOC Prime
23 juin 2026

Voir

Exécution de Python et utilisation de Taskkill dans le déploiement d’un voleur d’informations [Système Windows]

Règles d’IA SOC Prime
23 juin 2026

Voir

Détecter la commande Curl obfusquée dans le script de persistance de démarrage [Création de processus Windows]

Règles d’IA SOC Prime
23 juin 2026

Voir

Commandes PowerShell pour le déploiement de la charge utile et la persistance de démarrage [Windows Powershell]

Règles d’IA SOC Prime
23 juin 2026

Voir

Exécution de simulation

Prérequis : Le contrôle préalable de la télémétrie et de la base de référence doit avoir été passé.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTPs identifiés et viser à générer exactement la télémétrie attendu par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Narratif de l’attaque & Commandes : L’adversaire a réussi à obtenir un accès initial et a déposé un voleur d’informations basé sur Python nommé sim.py dans C:UsersPublicDesktopsLib. L’objectif est de récolter les identifiants de Chrome et Edge. Pour éviter les blocages de base de données sur le profil de l’utilisateur, l’attaquant exécute le script Python et exécute immédiatement taskkill des commandes pour terminer les processus de navigateur. Cette séquence est conçue pour imiter le comportement automatisé des logiciels malveillants.

  • Script de test de régression :

    # 1. Configurer l'environnement (Simuler l'empreinte de l'attaquant)
$targetDir = "C:UsersPublicDesktopsLib"
if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force }
$scriptPath = "$targetDirsim.py"
"print('Vol de données...')" | Out-File -FilePath $scriptPath -Encoding utf8

# 2. Exécuter le script Python 'malveillant' (Sélection de déclenchement 1)
Write-Host "Exécution du script Python..."
Start-Process "python.exe" -ArgumentList "`"$scriptPath`"" -Wait

# 3. Exécuter les commandes Taskkill (Sélection de déclenchement 2)
Write-Host "Exécution des commandes taskkill..."
$browsers = @("chrome.exe", "edge.exe", "brave.exe", "chromium.exe")
foreach ($browser in $browsers) {
    Start-Process "taskkill.exe" -ArgumentList "/IM", $browser, "/F" -ErrorAction SilentlyContinue
}

  • Commandes de nettoyage :

    # Supprimer les fichiers malveillants simulés et le répertoire
Remove-Item -Path "C:UsersPublicDesktopsLib" -Recurse -Force

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement