SOC Prime Bias: Critique

18 Jun 2026 14:28 UTC

Techniques d’attaque SloppyLemming & Exploitation du backdoor BurrowShell

Author Photo
SOC Prime Team linkedin icon Suivre
Techniques d’attaque SloppyLemming & Exploitation du backdoor BurrowShell
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

SloppyLemming est un groupe de cyberespionnage ciblant les industries critiques à travers l’Asie du Sud et de l’Est. Le groupe s’appuie sur le spearphishing pour livrer des malwares personnalisés, y compris la porte dérobée BurrowShell et un enregistreur de frappe basé sur Rust. Il utilise également de manière intensive les Cloudflare Workers pour soutenir les activités de commande et de contrôle et les opérations de vol d’informations d’identification.

Enquête

Le rapport décrit une campagne en plusieurs étapes impliquant des macros Excel malveillantes et des portails d’authentification usurpés. Les chercheurs ont identifié des sous-domaines Cloudflare conçus pour imiter des entités gouvernementales et ont analysé le shellcode personnalisé du groupe ainsi que ses capacités d’enregistrement de frappe. L’enquête a également montré comment SloppyLemming échappe à l’analyse statique via la résolution dynamique d’API et des charges utiles chiffrées avec RC4.

Atténuation

Les organisations devraient déployer un filtrage d’email robuste pour bloquer les pièces jointes malveillantes et les liens de phishing avant la livraison. Les équipes de sécurité devraient surveiller les modifications non autorisées des clés Run et les relations suspicieuses entre processus parent-enfant, y compris NGenTask.exe le chargement de DLL inattendues. La détection devrait également couvrir le trafic inhabituel des Cloudflare Workers et tout signe d’utilisation non autorisée de jetons OAuth.

Réponse

Si cette activité est détectée, isolez immédiatement les systèmes affectés pour stopper toute exfiltration supplémentaire via le canal de commande et de contrôle. Effectuez une analyse de la mémoire pour récupérer le shellcode BurrowShell et déterminer l’étendue de la compromission. Réinitialisez les informations d’identification de tous les comptes susceptibles d’avoir été exposés via l’enregistreur de frappe ou l’interception OAuth, en portant une attention particulière aux comptes Google.

Flux d’Attaque

Exécution de Simulation

Prérequis: Le Contrôle Pré-vol de Télémétrie & Baseline doit avoir réussi.

Rationale: Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront une mauvaise interprétation.

  • Récit de l’Attaque & Commandes : Un adversaire cherche à maintenir la persistance et à exécuter le code discrètement. Ils tentent de détourner le flux de processus en passant comme argument, une technique connue de SloppyLemming. Pour compliquer davantage la détection, ils peuvent également tenter de masquer leur présence en nommant un processus malveillant secondaire mscorsvc.dll dans la ligne de commande. Le but est de déclencher la règle de détection en correspondant à la combinaison spécifique de dans la ligne de commande. Le but est de déclencher la règle de détection en correspondant à la combinaison spécifique de in the command string. The goal is to trigger the detection rule by matching the specific combination of flux de processus en passant et le nom de DLL suspect ou usurpé.

  • Script de Test de Régression :

    # Script de Simulation : Émulation des TTP de SloppyLemming
    # Scénario 1 : Détournement de audiodg.exe avec mscorsvc.dll
    Write-Host "[+] Simulation du détournement de audiodg.exe avec mscorsvc.dll..."
    Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden
    
    # Scénario 2 : Déguisement via OneDrive.exe dans la ligne de commande
    Write-Host "[+] Simulation de l'exécution d'audiodg.exe avec le déguisement de OneDrive.exe..."
    Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden
  • Commandes de Nettoyage:

    # Nettoyage : Aucuns artefacts permanents ne sont créés par les commandes cmd /c,
    # mais nous nous assurons qu'aucun processus suspect persistant n'existe.
    Stop-Process -Name "cmd" -ErrorAction SilentlyContinue