SOC Prime Bias: Critique

08 Jan 2026 19:22
newspaper icon cert.gov.ua

Cyberattaque par le groupe APT28 utilisant le programme malveillant CredoMap_v2 (CERT-UA#4622)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Cyberattaque par le groupe APT28 utilisant le programme malveillant CredoMap_v2 (CERT-UA#4622)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

APT28 a mené une opération de phishing qui a livré une archive RAR protégée par mot de passe nommée UkrScanner.rar. À l’intérieur de l’archive se trouvait un exécutable auto-extractible (SFX) qui a installé CredoMap_v2. Le malware vole et exfiltre les identifiants via un POST HTTP vers une infrastructure contrôlée par l’attaquant hébergée sur la plateforme Pipedream. L’incident a été dévoilé par le CERT-UA (le CERT national de l’Ukraine).

Enquête

Le CERT-UA a reçu un message suspect se faisant passer pour sa propre organisation et portant la pièce jointe RAR protégée par mot de passe. L’examen de la charge SFX a révélé le binaire CredoMap_v2 et sa routine d’exfiltration des identifiants basée sur HTTP. Les analystes ont tracé le trafic sortant vers eo2mxtqmeqzafqi.m.pipedream.net et 69.16.243.33. En se basant sur les outils et l’infrastructure, l’activité a été attribuée au groupe de menace connu APT28.

Atténuation

Le CERT-UA a bloqué le domaine Pipedream malveillant et l’adresse IP associée. Les utilisateurs ont été conseillés de traiter les archives protégées par mot de passe comme à haut risque et de valider l’identité de l’expéditeur par des canaux de confiance. Empêchez l’exécution d’exécutables inconnus en utilisant les contrôles du système d’exploitation et les politiques de sécurité des terminaux.

Réponse

Formez les utilisateurs à repérer le phishing et à confirmer les expéditeurs, surtout lorsque les pièces jointes sont protégées par mot de passe. Renforcez le filtrage des emails pour les archives et exécutables suspects et bloquez l’infrastructure hostile connue. Surveillez le trafic HTTP sortant pour des requêtes POST inattendues vers des domaines non fiables et enquêtez rapidement sur toute correspondance.

graph TB %% Définitions des classes classDef action fill:#99ccff classDef file fill:#ffcc99 classDef malware fill:#ff9999 classDef service fill:#ccccff classDef data fill:#ccffcc %% Nœuds email_phishing[« <b>Action</b> – <b>T1566.001 Hameçonnage</b><br /><b>Nom</b> : Pièce jointe de spearphishing<br /><b>Détail</b> : E-mail usurpant CERT-UA avec une archive RAR protégée par mot de passe »] class email_phishing action archive_rar[« <b>Fichier</b> – <b>Nom</b> : UkrScanner.rar<br /><b>Type</b> : Archive RAR protégée par mot de passe<br /><b>Technique</b> : T1027.015 Compression »] class archive_rar file sfx_payload[« <b>Malware</b> – <b>Nom</b> : CredoMap_v2 (SFX)<br /><b>Technique</b> : T1027.009 Charges utiles intégrées »] class sfx_payload malware execution[« <b>Action</b> – <b>T1204.002 Exécution par l’utilisateur</b><br /><b>Détail</b> : L’utilisateur ouvre le RAR, extrait le SFX et l’exécute »] class execution action credential_capture[« <b>Action</b> – <b>T1056.003 Capture de saisie</b><br /><b>Méthode</b> : Capture des identifiants via un portail web »] class credential_capture action web_service[« <b>Service</b> – <b>Point de terminaison</b> : eo2mxtqmeqzafqi.m.pipedream.net<br /><b>Technique</b> : T1567 Exfiltration via un service web »] class web_service service exfiltrated_data[« <b>Données</b> – <b>Type</b> : Identifiants volés<br /><b>Utilisation potentielle</b> : T1078 Comptes valides »] class exfiltrated_data data privileged_use[« <b>Action</b> – <b>T1078 Comptes valides</b><br /><b>Impact</b> : Utilisation d’identifiants volés pour un accès privilégié »] class privileged_use action %% Connexions email_phishing –>|livre| archive_rar archive_rar –>|contient| sfx_payload sfx_payload –>|s’exécute dans le cadre de| execution execution –>|capture les identifiants via| credential_capture credential_capture –>|envoie les données vers| web_service web_service –>|reçoit| exfiltrated_data exfiltrated_data –>|permet| privileged_use

Flux d’attaque

Exécution de simulation

Condition préalable : le contrôle préalable de la télémétrie et de la ligne de base doit avoir été réussi.

Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des erreurs de diagnostic.

  • Narratif d’attaque et commandes :
    Un opérateur APT28 reçoit un e-mail de phishing contenant une archive RAR protégée par mot de passe. À l’intérieur, il y a un exécutable auto-extractible (SFX) nommé UkrScanner.exe. Après avoir extrait l’archive sur la machine de la victime, l’opérateur exécute l’exécutable SFX, qui dépose et exécute le malware CredoMap_v2. L’exécution de UkrScanner.exe crée un événement de création de processus qui correspond à la règle de détection.

    Étapes de la simulation (réalisées sur l’hôte de test) :

    1. Créer un exécutable factice nommé UkrScanner.exe (copie de powershell.exe pour la sécurité).
    2. Lancer l’exécutable factice pour imiter l’exécution de l’archive SFX par l’attaquant.

  • Script de test de régression :

    # ==============================
# Simulation de l'exécution de CredoMap_v2 à partir de SFX (UkrScanner.exe)
# ==============================
$tempPath = "$env:TEMPUkrScanner.exe"

# 1. Préparer une charge utile inoffensive (copie de powershell.exe)
Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force

# 2. S'assurer que le fichier est exécutable
Unblock-File -Path $tempPath

# 3. Exécuter l'exécutable factice SFX (simule l'attaquant exécutant le fichier)
Write-Host "Lancement de l'exécutable SFX factice..."
Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru

# 4. Pause pour permettre l'ingestion SIEM
Start-Sleep -Seconds 5
Write-Host "Simulation complète. Vérifiez SIEM pour une détection de création de processus se terminant par 'UkrScanner.exe'."

  • Commandes de nettoyage :

    # Arrêter tous les processus powershell en cours lancés par l'exécutable factice (le cas échéant)
Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force

# Supprimer l'exécutable factice
$tempPath = "$env:TEMPUkrScanner.exe"
if (Test-Path $tempPath) {
    Remove-Item -Path $tempPath -Force
    Write-Host "Nettoyage complet : suppression de $tempPath"
}

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement