SOC Prime Bias: Critique

08 Jan 2026 16:22 UTC

Cyberattaque par le groupe APT28 utilisant le programme malveillant CredoMap_v2 (CERT-UA#4622)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Cyberattaque par le groupe APT28 utilisant le programme malveillant CredoMap_v2 (CERT-UA#4622)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

APT28 a mené une opération de phishing qui a livré une archive RAR protégée par mot de passe nommée UkrScanner.rar. À l’intérieur de l’archive se trouvait un exécutable auto-extractible (SFX) qui a installé CredoMap_v2. Le malware vole et exfiltre les identifiants via un POST HTTP vers une infrastructure contrôlée par l’attaquant hébergée sur la plateforme Pipedream. L’incident a été dévoilé par le CERT-UA (le CERT national de l’Ukraine).

Enquête

Le CERT-UA a reçu un message suspect se faisant passer pour sa propre organisation et portant la pièce jointe RAR protégée par mot de passe. L’examen de la charge SFX a révélé le binaire CredoMap_v2 et sa routine d’exfiltration des identifiants basée sur HTTP. Les analystes ont tracé le trafic sortant vers eo2mxtqmeqzafqi.m.pipedream.net et 69.16.243.33. En se basant sur les outils et l’infrastructure, l’activité a été attribuée au groupe de menace connu APT28.

Atténuation

Le CERT-UA a bloqué le domaine Pipedream malveillant et l’adresse IP associée. Les utilisateurs ont été conseillés de traiter les archives protégées par mot de passe comme à haut risque et de valider l’identité de l’expéditeur par des canaux de confiance. Empêchez l’exécution d’exécutables inconnus en utilisant les contrôles du système d’exploitation et les politiques de sécurité des terminaux.

Réponse

Formez les utilisateurs à repérer le phishing et à confirmer les expéditeurs, surtout lorsque les pièces jointes sont protégées par mot de passe. Renforcez le filtrage des emails pour les archives et exécutables suspects et bloquez l’infrastructure hostile connue. Surveillez le trafic HTTP sortant pour des requêtes POST inattendues vers des domaines non fiables et enquêtez rapidement sur toute correspondance.

Flux d’attaque

Exécution de simulation

Condition préalable : le contrôle préalable de la télémétrie et de la ligne de base doit avoir été réussi.

Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des erreurs de diagnostic.

  • Narratif d’attaque et commandes :
    Un opérateur APT28 reçoit un e-mail de phishing contenant une archive RAR protégée par mot de passe. À l’intérieur, il y a un exécutable auto-extractible (SFX) nommé UkrScanner.exe. Après avoir extrait l’archive sur la machine de la victime, l’opérateur exécute l’exécutable SFX, qui dépose et exécute le malware CredoMap_v2. L’exécution de UkrScanner.exe crée un événement de création de processus qui correspond à la règle de détection.

    Étapes de la simulation (réalisées sur l’hôte de test) :

    1. Créer un exécutable factice nommé UkrScanner.exe (copie de powershell.exe pour la sécurité).
    2. Lancer l’exécutable factice pour imiter l’exécution de l’archive SFX par l’attaquant.
  • Script de test de régression :

    # ==============================
    # Simulation de l'exécution de CredoMap_v2 à partir de SFX (UkrScanner.exe)
    # ==============================
    $tempPath = "$env:TEMPUkrScanner.exe"
    
    # 1. Préparer une charge utile inoffensive (copie de powershell.exe)
    Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force
    
    # 2. S'assurer que le fichier est exécutable
    Unblock-File -Path $tempPath
    
    # 3. Exécuter l'exécutable factice SFX (simule l'attaquant exécutant le fichier)
    Write-Host "Lancement de l'exécutable SFX factice..."
    Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru
    
    # 4. Pause pour permettre l'ingestion SIEM
    Start-Sleep -Seconds 5
    Write-Host "Simulation complète. Vérifiez SIEM pour une détection de création de processus se terminant par 'UkrScanner.exe'."
  • Commandes de nettoyage :

    # Arrêter tous les processus powershell en cours lancés par l'exécutable factice (le cas échéant)
    Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force
    
    # Supprimer l'exécutable factice
    $tempPath = "$env:TEMPUkrScanner.exe"
    if (Test-Path $tempPath) {
        Remove-Item -Path $tempPath -Force
        Write-Host "Nettoyage complet : suppression de $tempPath"
    }