Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un voleur d’informations sophistiqué basé sur Rust est diffusé via un faux installateur OpenClaw. Le programme d’installation initial, suivi sous le nom de Hologram, applique plusieurs techniques d’évasion des bacs à sable avant de déployer un implant modulaire à six composants. L’opération exploite également des plateformes légitimes telles qu’Azure DevOps, Telegram et Hookdeck pour le commandement et le contrôle ainsi que la livraison dérobée. Son objectif principal est de voler des identifiants depuis les portefeuilles de cryptomonnaies et les extensions de gestionnaire de mots de passe des navigateurs.
Enquête
Netskope Threat Labs a examiné deux vagues de campagnes : Hologram et Pathfinder, et a cartographié la chaîne d’infection complète depuis l’installateur frauduleux jusqu’aux modules finaux de vol d’identifiants. Leur analyse a révélé des contrôles anti-VM, une exigence de mouvement de la souris, un exécuteur PowerShell qui désactive Microsoft Defender, et plusieurs méthodes de persistance, y compris les clés Run, une hijack de l'utilisateur Winlogon , des tâches planifiées et un détournement COM. Les chercheurs ont également observé des changements d’infrastructure fréquents à travers les domaines, les chaînes Telegram et les webhooks Hookdeck.
Atténuation
Les défenseurs devraient bloquer les téléchargements de l’installateur OpenClaw factice et surveiller le large Rust PE de 130 Mo associé à la campagne. Les équipes de sécurité devraient également détecter la création du raccourci OneDriveSync.lnk dans le dossier de démarrage et surveiller les modifications du registre impliquant hijack de l'utilisateur Winlogon Winlogon. L’accès sortant à Azure DevOps, l’API Telegram et les endpoints Hookdeck devraient être strictement contrôlés sur les systèmes non-développement. Les règles de pare-feu devraient également empêcher les connexions entrantes sur les ports 56001 à 57002.
Réponse
Si la menace est détectée, isolez immédiatement le point de terminaison affecté, collectez les binaires déposés et les fichiers associés, et effectuez une analyse médico-légale des modifications du registre et des artefacts de tâches planifiées. Tout jeton Azure DevOps exposé devrait être révoqué et les identifiants de bot Telegram compromis devraient être tournés. Le contenu de détection devrait ensuite être mis à jour pour inclure le mutex observé, les noms de fichiers et les indicateurs réseau. Les parties prenantes pertinentes devraient être informées, et un rapport au CERT ou aux fournisseurs de services impactés devrait être envisagé.
"graph TB %% Définitions de classes classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#ffe699 classDef process fill:#ff9999 classDef shortcut fill:#c2f0c2 classDef registry fill:#c2d6f0 classDef scheduled fill:#f0c2c2 classDef c2 fill:#d9c2f0 %% Définitions de nœuds file_openclaw["<b>Fichier</b>: OpenClaw_x64.exe<br/><b>Type</b>: Installateur factice"] class file_openclaw file initial_access["<b>Technique</b> – <b>T1204.002 Exécution par l’utilisateur : Fichier malveillant</b><br/><b>Description</b>: La victime exécute l’installateur malveillant depuis openclawu2011installer.com"] class initial_access technique defense_evasion_vm["<b>Technique</b> – <b>T1497.002 Évasion de Virtualisation/Bac à sable : Contrôles basés sur l’activité de l’utilisateur</b><br/><b>Description</b>: Le dropper vérifie la présence de VM, d’empreintes matérielles et attend un mouvement de souris"] class defense_evasion_vm technique defense_evasion_firewall["<b>Technique</b> – <b>T1562.004 Désactivation des défenses : Désactiver ou modifier le pare-feu</b><br/><b>Description</b>: PowerShell désactive Windows Defender et ouvre les ports entrants 56001u201157002"] class defense_evasion_firewall technique tool_powershell["<b>Outil</b>: PowerShell<br/><b>Description</b>: Exécute des scripts pour désactiver les composants de sécurité"] class tool_powershell tool execution_reflective["<b>Technique</b> – <b>T1620 Chargement de code réfléchi</b><br/><b>Description</b>: Les binaires du stageu20112 déchiffrés sont exécutés en mémoire via memexec"] class execution_reflective technique execution_injection["<b>Technique</b> – <b>T1055.002 Injection de processus : Injection de fichier exécutable portable</b><br/><b>Description</b>: svc_service.exe injecte des charges utiles en utilisant des appels système NT directs"] class execution_injection technique process_svc["<b>Processus</b>: svc_service.exe<br/><b>Description</b>: Héberge le CLR et effectue l’injection"] class process_svc process persistence_shortcut["<b>Technique</b> – <b>T1547.009 Modification de raccourci</b><br/><b>Description</b>: Raccourci LNK placé dans le dossier de démarrage"] class persistence_shortcut technique file_shortcut["<b>Fichier</b>: OneDriveSync.lnk<br/><b>Emplacement</b>: Dossier de démarrage"] class file_shortcut shortcut persistence_hijack["<b>Technique</b> – <b>T1574 Détournement du flux d’exécution</b><br/><b>Description</b>: Modifications du registre pour le changement de l’utilisateur WinLogon, détournement COM, création de tâches planifiées"] class persistence_hijack technique node_registry["<b>Registre</b>: Modification de Userinit de WinLogon<br/><b>Action</b>: Change l’ordre d’exécution"] class node_registry registry node_task["<b>Tâche planifiée</b>: Tâche de connexion<br/><b>Action</b>: Exécute une charge utile lors de la connexion de l’utilisateur"] class node_task scheduled c2_dead_drop["<b>Technique</b> – <b>T1102.001 Service Web : Résolveur de dépôt mort</b><br/><b>Description</b>: Récupère le domaine C2 depuis la description du canal Telegram"] class c2_dead_drop technique c2_telegram["<b>Canal C2</b>: Description Telegram"] class c2_telegram c2 c2_bidirectional["<b>Technique</b> – <b>T1102.002 Service Web : Communication bidirectionnelle</b><br/><b>Description</b>: Communique via le relais webhook Hookdeck et l’API du bot Telegram"] class c2_bidirectional technique tool_hookdeck["<b>Outil</b>: Relais de webhook Hookdeck<br/><b>Description</b>: Relaye les requêtes HTTP"] class tool_hookdeck tool tool_telegram_bot["<b>Outil</b>: API du bot Telegram<br/><b>Description</b>: Fournit des messages bidirectionnels"] class tool_telegram_bot tool %% Connexions file_openclaw –>|déclenche| initial_access initial_access –>|mène à| defense_evasion_vm defense_evasion_vm –>|mène à| defense_evasion_firewall defense_evasion_firewall –>|exécuté par| tool_powershell defense_evasion_firewall –>|mène à| execution_reflective execution_reflective –>|charge dans| process_svc process_svc –>|effectue| execution_injection execution_injection –>|crée| file_shortcut file_shortcut –>|active| persistence_shortcut persistence_shortcut –>|soutient| persistence_hijack persistence_hijack –>|modifie| node_registry persistence_hijack –>|crée| node_task persistence_hijack –>|obtient| c2_dead_drop c2_dead_drop –>|source| c2_telegram c2_dead_drop –>|utilise| c2_bidirectional c2_bidirectional –>|relaye via| tool_hookdeck c2_bidirectional –>|communique via| tool_telegram_bot "
Flux d’Attaque
Détections
Points de persistance possibles [ASEPs – Logiciel/NTUSER Hive] (via registry_event)
Voir
Exécution suspecte depuis le profil utilisateur public (via process_creation)
Voir
Désactiver la surveillance en temps réel de Windows Defender et d’autres modifications de préférences (via cmdline)
Voir
Binaire/Scripts suspects dans l’emplacement de démarrage automatique (via file_event)
Voir
Fichiers suspects dans le profil utilisateur public (via file_event)
Voir
Propagation possible de Telegram comme canal de commande et contrôle (via dns_query)
Voir
IOCs (HashSha256) pour détecter : Hologram d’OpenClaw : L’installateur factice fournit Rust Infostealer
Voir
IOCs (SourceIP) pour détecter : Hologram d’OpenClaw : L’installateur factice fournit Rust Infostealer
Voir
IOCs (DestinationIP) pour détecter : Hologram d’OpenClaw : L’installateur factice fournit Rust Infostealer
Voir
Détecter le chargement caché de la charge utile PowerShell et les manipulations de pare-feu [Windows Powershell]
Voir
Détection de l’installateur malveillant OpenClaw livrant un cadre modulaire [Création de processus Windows]
Voir
Exécution de la simulation
Prérequis : Le contrôle de pré-vol des Télémétrie & Baseline a réussi.
Justification : Cette section précise l’exécution de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit reflètent directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif d’attaque & Commandes :
Un adversaire obtient le faux installateur malveillant OpenClaw (
OpenClaw_x64.exe).
L’utilisateur, croyant qu’il s’agit d’un outil de portefeuille légitime, exécute l’installateur (T1204).
L’installateur lance immédiatement une seule ligne de commande qui engendre les six binaires de charge utile malveillants d’un seul coup, lui permettant de contourner les heuristiques des bacs à sable et d’établir un cadre d’implant modulaire (T1027.009, T1608.001, T1546.016, T1127).La ligne de commande exacte attendue par la règle est :
OpenClaw_x64.exe svc_service.exe virtnetwork.exe onedrive_sync.exe audioeq.exe WinHealhCare.exe OneSync.exe -
Script de test de régression :
# ------------------------------------------------- # Script de simulation – déclenche la détection OpenClaw # ------------------------------------------------- $installerPath = "C:TempOpenClaw_x64.exe" # S'assurer que l'installateur factice existe (créer un espace réservé inoffensif) if (-not (Test-Path $installerPath)) { New-Item -ItemType File -Path $installerPath -Force | Out-Null } # Construire la liste d'arguments contenant tous les six noms de charge utile $payloads = @( "svc_service.exe", "virtnetwork.exe", "onedrive_sync.exe", "audioeq.exe", "WinHealhCare.exe", "OneSync.exe" ) $argString = $payloads -join " " # Lancer l'installateur avec la ligne de commande malveillante complète Write-Host "Lancement de l'installateur malveillant..." Start-Process -FilePath $installerPath -ArgumentList $argString -NoNewWindow # Attendre quelques secondes pour que Sysmon / Sécurité journalise l'évènement Start-Sleep -Seconds 5 Write-Host "Simulation complète. Vérifiez SIEM pour alerte." -
Commandes de nettoyage :
# ------------------------------------------------- # Script de nettoyage – retire les artefacts créés pour le test # ------------------------------------------------- $installerPath = "C:TempOpenClaw_x64.exe" if (Test-Path $installerPath) { Remove-Item -Path $installerPath -Force } # Terminer optionnellement tous les processus de charge utile fictifs persistants (ce ne sont que des espaces réservés) Get-Process -Name "svc_service","virtnetwork","onedrive_sync","audioeq","WinHealhCare","OneSync" -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "Nettoyage terminé."