Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Handala est un groupe hacktiviste lié à l’Iran, menant des opérations cyber destructrices. Le groupe utilise des chaînes d’attaque multi-étapes qui combinent hameçonnage, chargeurs basés sur AutoIT, et logiciels malveillants du type destructeur. Ses campagnes visent principalement à causer des perturbations et à détruire des données sur les infrastructures ciblées en Israël, aux États-Unis, et dans la région.
Enquête
Le rapport décrit le déplacement de Handala de l’activité hacktiviste traditionnelle vers des opérations destructrices plus avancées. Il examine l’utilisation par le groupe des techniques BYOVD pour l’escalade des privilèges et le déploiement de charges destructrices sur les environnements Windows et Linux. L’analyse technique couvre aussi l’activité de commande et contrôle via Telegram et les méthodes d’obfuscation intégrées dans les scripts batch.
Atténuation
Les organisations doivent appliquer un filtrage strict des e-mails pour bloquer les pièces jointes malveillantes et les téléchargements suspects basés sur ZIP. Limiter l’utilisation de pilotes vulnérables ou non autorisés peut réduire le risque d’abus de BYOVD, tandis que la surveillance de l’exécution non autorisée d’AutoIT peut aider à détecter les activités en phase initiale. Les défenses des points d’entrée devraient également être ajustées pour identifier les écrasements rapides de fichiers et les comportements de formatage de disque non autorisés.
Réponse
Si une activité liée à Handala est détectée, les hôtes affectés doivent être isolés immédiatement pour stopper la propagation des logiciels destructeurs. Les enquêteurs devraient réaliser une analyse de la mémoire pour identifier le code injecté et passer en revue les systèmes à la recherche de chargements de pilotes non autorisés. Les journaux d’e-mails devraient également être analysés pour déterminer l’ampleur de la campagne de hameçonnage, et les identifiants compromis devraient être changés sans délai.
"graph TB %% Class Definitions classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef privilege_escalation fill:#fbb,stroke:#333,stroke-width:2px classDef defense_evasion fill:#bfb,stroke:#333,stroke-width:2px classDef discovery fill:#fff4dd,stroke:#333,stroke-width:2px classDef command_and_control fill:#d4f1f9,stroke:#333,stroke-width:2px classDef impact fill:#ffcccb,stroke:#333,stroke-width:2px %% Initial Access Stage action_phishing["<b>Action</b> – <b idea='T1566.001'>Phishing: Spearphishing Attachment</b><br/><b>Description</b>: E-mails trompeurs contenant<br/>des pièces jointes PDF malveillantes ou des archives ZIP.<br/><b>Exemples</b>: update.zip, F5UPDATER.EXE"] class action_phishing initial_access %% Execution Stage action_execution["<b>Action</b> – <b idea='T1059'>Commande et Interprète de Script</b><br/><b>Description</b>: Utilisation d’exécutables NSIS et<br/>de scripts AutoIT compilés pour charger du shellcode."] class action_execution execution %% Privilege Escalation Stage action_priv_esc["<b>Action</b> – <b idea='T1068'>Exploitation pour Élévation de Privilèges</b><br/><b>Description</b>: Utilisation du mécanisme "Apportez Votre Propre Pilote Vulnérable" (BYOVD)<br/>pour accéder à la mémoire du noyau."] tool_vulnerable_driver["<b>Outil</b> – <b idea='BYOVD'>ListOpenedFileDrv_32.sys</b><br/><b>Description</b>: Un pilote utilisé pour obtenir un contrôle plus élevé<br/>sur le système."] class action_priv_esc privilege_escalation class tool_vulnerable_driver privilege_escalation %% Defense Evasion Stage action_evasion["<b>Action</b> – <b idea='T1027.016'>Fichiers ou Informations Obfusquées: Insertion de Code Brouillon</b><br/><b>Description</b>: Insertion de commandes poubelles non valides dans<br/>les scripts batch pour semer le trouble parmi les analystes."] class action_evasion defense_evasion %% Discovery Stage action_discovery["<b>Action</b> – <b idea='T1082'>Découverte d'Informations Système</b><br/><b>Description</b>: Collecte des noms d’hôtes, des informations de domaine,<br/>et des détails utilisateur."] class action_discovery discovery %% Command and Control Stage action_cnc["<b>Action</b> – <b idea='T1102.002'>Service Web: Telegram</b><br/><b>Description</b>: Utilisation de chaînes Telegram avec des<br/>identifiants de bot et de chaîne intégrés pour la communication."] class action_cnc command_and_control %% Impact Stage action_impact["<b>Action</b> – <b idea='T1561.001'>Effacement de Disque: Effacement de Contenu</b><br/><b>Description</b>: Réécriture agressive des fichiers cibles<br/>avec des blocs de 4096 octets aléatoires ou des zéros."] class action_impact impact %% Connections action_phishing –>|leads_to| action_execution action_execution –>|triggers| action_priv_esc action_priv_esc –>|utilizes| tool_vulnerable_driver action_execution –>|employs| action_evasion action_execution –>|performs| action_discovery action_discovery –>|establishes| action_cnc action_cnc –>|facilitates| action_impact "
Flux d’Attaque
Détections
Téléchargement ou Chargement via Powershell (via cmdline)
Voir
Utilisation Possible de PING pour Retarder l’Exécution (via cmdline)
Voir
Téléchargement / Chargement de Fichiers à Distance via Outils Standards (via cmdline)
Voir
Détecter l’Exécution de Commandes Malveillantes d’Exécutables NSIS [Création de Processus Windows]
Voir
Détection de la destruction des partitions Linux par le destructeur Handala [Création de Processus Linux]
Voir
Destruction de Fichiers par le Logiciel Malveillant Handala Wiper [Événement Fichier Windows]
Voir
Exécution de Simulation
Prérequis : Le contrôle préliminaire de la télémétrie & des lignes de base doit avoir été réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés entraîneront des erreurs de diagnostic.
-
Narratif et Commandes d’Attaque : L’attaquant a réussi à livrer un installateur NSIS malveillant via une pièce jointe d’hameçonnage ciblé. Lors de l’exécution, le moteur NSIS est utilisé pour exécuter un shell de commande caché. Le but est de déposer un script secondaire (
Carroll.cmd) dans le répertoire de travail et de l’exécuter immédiatement sans interaction avec l’utilisateur. Pour rester sous le radar, l’attaquant utiliseSW_HIDEpour empêcher une fenêtre d’invite de commande de s’afficher sur le bureau de l’utilisateur. Cette technique utilise un logiciel d’installation légitime pour exécuter des commandes arbitraires. -
Script de Test de Régression :
# Script de Simulation : Imitation de l'exécution de la ligne de commande NSIS # Remarque : Puisque nous simulons la 'ligne de commande' capturée par la règle, # nous allons déclencher une création de processus qui imite la chaîne spécifique détectée. $MaliciousCommand = 'ExecShell open cmd "/k copy Carroll Carroll.cmd & Carroll.cmd & exit" SW_HIDE' # Pour simuler précisément la création du processus NSIS, nous appelons cmd.exe # avec la chaîne comme argument pour qu'elle apparaisse dans la télémétrie de la ligne de commande. Start-Process "cmd.exe" -ArgumentList "/c echo $MaliciousCommand" Write-Host "Commande de simulation exécutée. Vérifiez SIEM pour : $MaliciousCommand" -
Commandes de Nettoyage :
# Supprimer tous les fichiers créés pendant la simulation Remove-Item -Path "$env:TEMPCarroll.cmd" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPCarroll" -ErrorAction SilentlyContinue