SOC Prime Bias: Élevé

15 Jun 2026 05:49 UTC

[Rapport d’Op] Du Phishing SSA à AdaptixC2 : Une Intrusion Multi-RAT

Author Photo
SOC Prime Team linkedin icon Suivre
[Rapport d’Op] Du Phishing SSA à AdaptixC2 : Une Intrusion Multi-RAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Un acteur malveillant a effectué une intrusion commode en couches en commençant par un e-mail de phishing sur le thème de la Sécurité sociale des États-Unis. L’opération s’est appuyée sur AdaptixC2 comme principal cadre de commande et de contrôle, a utilisé XWorm comme canal d’accès secondaire et pour l’exfiltration basée sur Telegram, et a déployé ScreenConnect pour soutenir l’activité en clavier sous les mains. La campagne a également montré une forte discipline opérationnelle par l’utilisation de la tromperie du nom de fichier RTLO et de multiples chemins de persistance conçus pour survivre à une remédiation partielle.

Enquête

L’enquête a eu lieu dans un environnement Deception.Pro utilisant un poste de travail de déception. Grâce à l’inspection TLS activée, les chercheurs ont pu récupérer le trafic de balise en clair, les URL de téléchargement de charge utile et les poignées de relais ScreenConnect. Cette visibilité a permis d’attribuer l’intrusion à des cadres spécifiques avec une grande confiance plutôt que de dépendre uniquement de suppositions comportementales ou basées sur des empreintes.

Atténuation

Les organisations devraient réduire les risques en activant l’inspection TLS pour le trafic de commande et de contrôle chiffré et en déployant un EDR capable de détecter certutil-basé sur la mise en scène et l’exécution suspecte de PowerShell. La visibilité des extensions de fichier devrait être renforcée pour affaiblir les astuces de nom de fichier basées sur RTLO, et les écritures de clé Run du registre dans des emplacements publics ou accessibles en écriture par l’utilisateur devraient être surveillées de près. Les équipes devraient également inventorier et alerter sur les outils de gestion à distance non autorisés tels que ScreenConnect, surtout lorsqu’ils sont installés via msiexec.

Réponse

Si cette activité est détectée, isolez immédiatement les points d’extrémité affectés pour couper le trafic de commande et de contrôle et empêcher tout autre mouvement latéral via l’énumération SAMR ou LSAD. Effectuez une analyse judiciaire complète pour les DLL XWorm et les artefacts AdaptixC2 dans les dossiers publics et autres chemins de mise en scène courants. Les enquêteurs doivent également examiner les modèles d’exfiltration liés à Telegram et auditer les clés de persistance du registre qui imitent les noms de mise à jour légitimes.

Flux d’attaque

Détections

Points de persistance possibles [ASEPs – Ruche Software/NTUSER] (via registry_event)

Équipe SOC Prime
12 juin 2026

Utilisation de Certutil pour le codage des données et les opérations de certificat (via cmdline)

Équipe SOC Prime
12 juin 2026

Exécution suspecte depuis le profil utilisateur public (via process_creation)

Équipe SOC Prime
12 juin 2026

Logiciels alternatifs d’accès/gestion à distance (via process_creation)

Équipe SOC Prime
12 juin 2026

Une archive a été extraite vers un répertoire suspect à l’aide de Powershell (via powershell)

Équipe SOC Prime
12 juin 2026

Fichiers suspects dans le profil utilisateur public (via file_event)

Équipe SOC Prime
12 juin 2026

Communication de domaine de recherche IP possible tentée (via dns)

Équipe SOC Prime
12 juin 2026

Service DNS dynamique possible contacté (via dns)

Équipe SOC Prime
12 juin 2026

IOCs (HashSha256) à détecter : [Rapport d’opération] De SSA Phish à AdaptixC2 : Une intrusion multi-RAT

Règles IA SOC Prime
12 juin 2026

IOCs (HashMd5) à détecter : [Rapport d’opération] De SSA Phish à AdaptixC2 : Une intrusion multi-RAT

Règles IA SOC Prime
12 juin 2026

IOCs (SourceIP) à détecter : [Rapport d’opération] De SSA Phish à AdaptixC2 : Une intrusion multi-RAT

Règles IA SOC Prime
12 juin 2026

IOCs (DestinationIP) à détecter : [Rapport d’opération] De SSA Phish à AdaptixC2 : Une intrusion multi-RAT

Règles IA SOC Prime
12 juin 2026

Détection de la communication de commande et de contrôle AdaptixC2 [Connexion réseau Windows]

Règles IA SOC Prime
12 juin 2026

Détection du déploiement AdaptixC2 et ScreenConnect via Certutil et Msiexec [Création de processus Windows]

Règles IA SOC Prime
12 juin 2026

Exécution de simulation

Prérequis : la vérification préalable de télémétrie et de base doit avoir réussi.

Raison : cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narrative de l’attaque et commandes : L’adversaire a réussi à établir une tête de pont sur la machine cible via un lien de spearphishing. Pour maintenir le contrôle et recevoir des instructions, l’agent AdaptixC2 tente de « se connecter » avec son serveur de commande et de contrôle. L’agent est programmé pour atteindre un URI codé en dur (98.81.111.167/updates/check.php) ou une IP de repli (23.20.229.225) via le port 443. En simulant ces tentatives de connexion exactes, nous validons si la règle de détection de pare-feu/réseau identifie correctement ces modèles malveillants connus.

  • Script de test de régression : Ce script utilise PowerShell pour simuler deux tentatives de connexion distinctes : une ciblant l’URL spécifique et une ciblant l’adresse IP spécifique.

    # Simulation de la Communication C2 d'AdaptixC2
    Write-Host "[+] Démarrage de la simulation d'AdaptixC2..." -ForegroundColor Cyan
    
    # Scénario 1 : Connexion au modèle d'URL malveillant spécifique
    Write-Host "[+] Tentative de connexion à l'URL malveillante : 98.81.111.167/updates/check.php" -ForegroundColor Yellow
    try {
        # Nous utilisons -ErrorAction SilentlyContinue car l'IP ne résoudra probablement pas ou ne répondra pas,
        # mais la tentative de connexion elle-même générera la télémétrie.
        Invoke-WebRequest -Uri "http://98.81.111.167/updates/check.php" -Method Get -ErrorAction SilentlyContinue
    } catch {
        Write-Host "[!] Connexion échouée (attendu), mais la télémétrie devrait être générée." -ForegroundColor Gray
    }
    
    # Scénario 2 : Connexion à l'IP malveillante spécifique sur le port 443
    Write-Host "[+] Tentative de connexion à l'IP malveillante : 23.20.229.225 sur le port 443" -ForegroundColor Yellow
    try {
        $tcpClient = New-Object System.Net.Sockets.TcpClient
        $connection = $tcpClient.BeginConnect("23.20.229.225", 443, $null, $null)
        $success = $connection.AsyncWaitHandle.WaitOne(5000, $false)
        if ($success) {
            Write-Host "[+] Connexion réussie (improbable dans un test réel)." -ForegroundColor Green
        } else {
            Write-Host "[!] Temps de connexion dépassé (attendu), mais la télémétrie devrait être générée." -ForegroundColor Gray
        }
        $tcpClient.Close()
    } catch {
        Write-Host "[!] Erreur lors de la tentative de connexion TCP." -ForegroundColor Red
    }
    
    Write-Host "[+] Simulation terminée." -ForegroundColor Cyan
  • Commandes de nettoyage :

    # Aucun artefact persistant n'est créé par cette simulation car elle ne génère que du trafic réseau.
    Write-Host "[+] Aucun nettoyage requis. Les connexions réseau étaient transitoires." -ForegroundColor Green