Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Des acteurs malveillants ont abusé de Net Monitor for Employees et de la plateforme de gestion à distance SimpleHelp pour maintenir un accès persistant aux réseaux des victimes. En opérant via des outils commerciaux légitimes, les intrus se sont faufilés tout en téléchargeant des charges utiles de suivi et en tentant de déployer le ransomware Crazy (une variante de VoidCrypt). Une infrastructure qui se chevauche – des domaines C2 et des adresses IP partagées – suggère le même opérateur dans les deux incidents. L’activité était motivée par le profit, combinant la surveillance de vol de crédentiels/de cryptomonnaies avec une tentative d’extorsion par ransomware.
Enquête
Huntress a documenté deux intrusions début 2026 où Net Monitor for Employees a permis une capacité de shell inversé et une usurpation de services, tandis que SimpleHelp fournissait une persistance de sauvegarde. Les analystes ont observé un téléchargement de vhost.exe renommé, l’exécution de winpty-agent.exe et des tentatives d’affaiblir les défenses en manipulant les paramètres de Windows Defender. L’accès initial impliquait également des identifiants VPN compromis, et les outils ont été installés en utilisant une exécution silencieuse de msiexec. Plusieurs copies du ransomware Crazy binaire (encrypt.exe) ont été déposées, mais l’étape du ransomware n’a pas réussi à s’exécuter.
Atténuation
Prioriser l’authentification multifacteur sur tous les chemins d’accès à distance, minimiser les comptes privilégiés et segmenter les réseaux pour limiter les mouvements latéraux. Auditer agressivement les outils d’administration tiers et alerter sur les chaînes de processus suspects, les installations silencieuses de msiexec et l’usurpation de nom de service. Bloquer ou surveiller l’infrastructure C2 connue et utiliser le contrôle des applications pour empêcher l’exécution de binaires RMM non autorisés.
Réponse
Si détecté, isoler les systèmes concernés, arrêter les processus malveillants et supprimer les services RMM non autorisés. Conserver les artefacts clés (binaires, traces d’installation, journaux), bloquer les domaines IP C2 associés, et réinitialiser tout identifiant compromis. Effectuer un inventaire de l’environnement des outils d’administration pour valider la légitimité, puis réparer les modifications de registre et annuler toute altération de Defender ou les tentatives de désactivation des contrôles de sécurité.
« graph TB %% Class Definitions classDef technique fill:#e0f7fa classDef tool fill:#ffe0b2 classDef process fill:#d1c4e9 %% Nodes step1[« <b>Technique</b> – T1078 Comptes Valides<br/>Identifiants compromis du fournisseur SSL VPN utilisés pour l’accès à distance. »] class step1 technique step2[« <b>Technique</b> – T1021.001 Services à distance : Protocole de bureau à distance<br/>RDP utilisé pour accéder au contrôleur de domaine. »] class step2 technique step3[« <b>Technique</b> – T1218.007 Exécution de proxy binaire système : Msiexec<br/>Installation silencieuse de Net Monitor for Employees MSI. »] class step3 technique tool_msiexec[« <b>Outil</b> – Msiexec<br/><b>But</b>: Installer des paquets MSI »] class tool_msiexec tool step4[« <b>Technique</b> – T1036 Déguisement<br/>Service enregistré comme OneDriveSvc, processus renommé OneDriver.exe puis svchost.exe. »] class step4 technique step5[« <b>Technique</b> – T1136.002 Création de compte : Compte de domaine<br/>Administrateur intégré activé et nouveaux comptes créés. »] class step5 technique step5b[« <b>Technique</b> – T1136.001 Création de compte : Compte local »] class step5b technique step5c[« <b>Technique</b> – T1098.007 Groupes locaux ou de domaine supplémentaires<br/>Comptes ajoutés à des groupes privilégiés. »] class step5c technique step6[« <b>Technique</b> – T1012 Requête de registre<br/>Modification du registre pour désactiver Windows Defender. »] class step6 technique step6b[« <b>Technique</b> – T1553 Subversion des contrôles de confiance<br/>Contrôles de sécurité désactivés. »] class step6b technique step7[« <b>Technique</b> – T1059.001 PowerShell<br/>Utilisation de winptyu2011agent.exe pour télécharger vhost.exe (SimpleHelp). »] class step7 technique tool_winpty[« <b>Outil</b> – winptyu2011agent.exe<br/><b>Fonction</b>: Téléchargeur de charge utile PowerShell »] class tool_winpty tool malware_simplehelp[« <b>Malware</b> – vhost.exe (SimpleHelp) »] class malware_simplehelp process step8[« <b>Technique</b> – T1102 Service Web<br/>Communications bidirectionnelles et unilatérales via HTTPS avec masquage de domaine. »] class step8 technique step8b[« <b>Technique</b> – T1090.004 Détournement de domaine<br/>Trafic HTTPS vers dronemaker.org et d’autres passerelles. »] class step8b technique step9[« <b>Technique</b> – T1087.001 Découverte de compte : Compte local<br/>Comptes locaux énumérés via les commandes net. »] class step9 technique step9b[« <b>Technique</b> – T1087.002 Découverte de compte : Compte de domaine<br/>Comptes de domaine énumérés. »] class step9b technique step10[« <b>Technique</b> – T1486 Cryptage des données pour impact<br/>Tentative de déploiement du ransomware Crazy. »] class step10 technique malware_crazy[« <b>Malware</b> – ransomware Crazy »] class malware_crazy process step10b[« <b>Technique</b> – T1027.009 Fichiers ou informations obfusqués : Charges utiles intégrées<br/>Multiples binaires chiffrés. »] class step10b technique step11[« <b>Technique</b> – T1574.010 Détournement de flux d’exécution : Faiblesse des autorisations de fichiers de services<br/>Binaires et services renommés pour apparaître légitimes. »] class step11 technique %% Connections step1 u002du002d>|conduit_à| step2 step2 u002du002d>|conduit_à| step3 step3 u002du002d>|utilise| tool_msiexec step3 u002du002d>|conduit_à| step4 step4 u002du002d>|conduit_à| step5 step5 u002du002d>|lié_à| step5b step5b u002du002d>|lié_à| step5c step5c u002du002d>|conduit_à| step6 step6 u002du002d>|modifie| step6b step6b u002du002d>|conduit_à| step7 step7 u002du002d>|utilise| tool_winpty tool_winpty u002du002d>|télécharge| malware_simplehelp malware_simplehelp u002du002d>|conduit_à| step8 step8 u002du002d>|utilise| step8b step8b u002du002d>|conduit_à| step9 step9 u002du002d>|conduit_à| step9b step9b u002du002d>|conduit_à| step10 step10 u002du002d>|livre| malware_crazy malware_crazy u002du002d>|lié_à| step10b step10b u002du002d>|conduit_à| step11 «
Flux d’attaque
Détections
Découverte de la configuration réseau système possible (via cmdline)
Voir
Tentatives d’installation cachée de l’installateur à distance MsiExec suspect (via cmdline)
Voir
Téléchargement ou téléversement via Powershell (via cmdline)
Voir
Binaire/scrips suspects dans l’emplacement d’autostart (via file_event)
Voir
IOC (DestinationIP) à détecter : Surveillance des employés et logiciel SimpleHelp utilisés dans des opérations de ransomware
Voir
IOC (SourceIP) à détecter : Surveillance des employés et logiciel SimpleHelp utilisés dans des opérations de ransomware
Voir
IOC (HashSha256) à détecter : Surveillance des employés et logiciel SimpleHelp utilisés dans des opérations de ransomware
Voir
Téléchargement de fichier potentiellement malveillant par PowerShell [Windows Powershell]
Voir
Détection de l’utilisation malveillante de la surveillance des employés et du logiciel SimpleHelp dans des opérations de ransomware [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : Le contrôle pré-vol de la télémétrie et de la base de référence doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le narratif DOIVENT refléter directement les TTP identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif d’attaque et commandes :
- Préparation : L’attaquant copie un binaire Windows bénin (
calc.exe) vers un fichier nomménmep_agtconfig.exe, un suffixe surveillé représentant l’agent SimpleHelp. - Exécution : Le binaire renommé est lancé, provoquant la journalisation par Sysmon d’un événement de création de processus dont
Imagese termine parnmep_agtconfig.exe. - Post-exécution : L’attaquant exécute éventuellement une ligne de commande PowerShell à partir du processus engendré pour simuler l’exécution de la commande (illustrant T1059), mais ce comportement supplémentaire n’est pas requis pour que la règle se déclenche.
- Préparation : L’attaquant copie un binaire Windows bénin (
-
Script de test de régression :
# Script de simulation – déclenche la règle Sigma $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:Tempnmep_agtconfig.exe" # Copie de calc.exe vers le nom masqué Copy-Item -Path $src -Destination $dst -Force # Exécution du binaire masqué $proc = Start-Process -FilePath $dst -PassThru # Optionnel : dans la même session, exécutez une commande inoffensive pour générer une télémétrie de ligne de commande Start-Process -FilePath "powershell.exe" -ArgumentList '-NoProfile -Command "Write-Host Simulated payload."' -NoNewWindow # PID de sortie pour le nettoyage Write-Output "Spawned PID: $($proc.Id)" -
Commandes de nettoyage :
# Terminer le processus masqué s'il est toujours en cours d'exécution Get-Process -Name "nmep_agtconfig" -ErrorAction SilentlyContinue | Stop-Process -Force # Supprimer le fichier du disque Remove-Item -Path "$env:Tempnmep_agtconfig.exe" -Force