Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un email de phishing se faisant passer pour DHL a envoyé le destinataire vers un fichier PDF en pièce jointe qui l’invitait à cliquer sur un bouton. Ce bouton conduisait au téléchargement d’un fichier .scr provenant d’un site logistique vietnamien compromis. Une fois exécuté, le fichier installait un outil d’accès à distance SimpleHelp signé, permettant à l’attaquant d’établir un accès à distance persistant à la machine de la victime.
Enquête
Le rapport explique que l’email de phishing utilisait des images hébergées sur un service Yahoo légitime pour paraître plus convaincant et s’appuyait sur une adresse d’expéditeur usurpée pour imiter une source de confiance. Le fichier .scr fichier téléchargé a été identifié comme un installateur de gestion à distance SimpleHelp modifié qui déclenchait une demande d’approbation UAC avant exécution. Après l’installation, le logiciel initiait une communication sortante avec une infrastructure contrôlée par l’attaquant pour recevoir des commandes et maintenir le contrôle du système compromis.
Atténuation
Les organisations devraient former les utilisateurs à vérifier soigneusement les adresses des expéditeurs et prêter une attention particulière aux extensions de fichiers suspectes avant d’ouvrir des pièces jointes ou des téléchargements. L’authentification à plusieurs facteurs devrait être activée dès que possible, et une protection des points d’extrémité avec des capacités de filtrage Web actuel devrait être déployée pour bloquer le contenu malveillant. Les défenseurs devraient également bloquer le domaine malveillant identifié et surveiller toute activité non autorisée de SimpleHelp dans l’environnement.
Réponse
Si cette activité est détectée, isolez immédiatement le point de terminaison affecté, terminez le processus SimpleHelp et supprimez le fichier .scr fichier malveillant de l’hôte. Les enquêteurs devraient alors effectuer une analyse forensic pour identifier tout artefact supplémentaire ou activité consécutive liée à l’intrusion. Tout identifiant utilisé sur le système compromis devrait être réinitialisé, et les règles de sécurité des emails devraient être renforcées pour réduire l’exposition à des leurres de phishing similaires à l’avenir.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef protocol fill:#ccccff %% Nodes action_phishing["<b>Action</b> – Campagne de Phishing"] class action_phishing action tech_T1566_001["<b>Technique</b> – T1566.001 Phishing : Pièce jointe Spearphishing<br/><b>Description</b> : Emails de phishing ciblés contenant des pièces jointes malveillantes."] class tech_T1566_001 technique file_pdf["<b>Fichier</b> – Pièce jointe PDF malveillante (se faisant passer pour DHL)"] class file_pdf file action_user_exec["<b>Action</b> – Exécution par l’Utilisateur du Fichier Malveillant"] class action_user_exec action tech_T1204_002["<b>Technique</b> – T1204.002 Exécution Utilisateur : Fichier Malveillant<br/><b>Description</b> : L’utilisateur est trompé pour ouvrir ou exécuter un fichier malveillant."] class tech_T1204_002 technique file_scr["<b>Fichier</b> – AWB-Doc0921.scr téléchargé et exécuté"] class file_scr file tech_T1553_002["<b>Technique</b> – T1553.002 Subvertir les Contrôles de Confiance : Signature de Code<br/><b>Description</b> : Les adversaires utilisent des certificats de signature de code volés ou falsifiés pour signer des fichiers malveillants."] class tech_T1553_002 technique tech_T1036_008["<b>Technique</b> – T1036.008 Masquerade : Type de Fichier Masqué<br/><b>Description</b> : Les fichiers sont renommés ou présentés sous un type différent pour contourner les défenses."] class tech_T1036_008 technique malware_simplehelp["<b>Maliciel</b> – Outil d’Accès à Distance SimpleHelp"] class malware_simplehelp malware tech_T1219["<b>Technique</b> – T1219 Outils d’Accès à Distance<br/><b>Description</b> : Utilisation d’outils d’accès à distance pour contrôler des hôtes compromis."] class tech_T1219 technique tech_T1071_001["<b>Technique</b> – T1071.001 Protocole de Couche Applicative : Protocoles Web<br/><b>Description</b> : Utilisation de HTTP/HTTPS pour les communications de commande et de contrôle."] class tech_T1071_001 protocol tech_T1133["<b>Technique</b> – T1133 Services de Télécommande Externes<br/><b>Description</b> : Utilisation de services de télécommande légitimes pour accéder aux systèmes compromis."] class tech_T1133 technique %% Connections action_phishing –>|utilise| tech_T1566_001 tech_T1566_001 –>|livre| file_pdf file_pdf –>|déclenche| action_user_exec action_user_exec –>|utilise| tech_T1204_002 tech_T1206_002 –>|exécute| file_scr file_scr –>|signé_avec| tech_T1553_002 tech_T1553_002 –>|permet| tech_T1036_008 tech_T1036_008 –>|mène à| malware_simplehelp malware_simplehelp –>|utilise| tech_T1219 malware_simplehelp –>|communique_via| tech_T1071_001 malware_simplehelp –>|accédé_via| tech_T1133 "