SOC Prime Bias: Critique

18 Jun 2026 14:28 UTC
newspaper icon picussecurity.com

Techniques d’attaque SloppyLemming & Exploitation du backdoor BurrowShell

Author Photo
SOC Prime Team linkedin icon Suivre
Techniques d’attaque SloppyLemming & Exploitation du backdoor BurrowShell
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

SloppyLemming est un groupe de cyberespionnage ciblant les industries critiques à travers l’Asie du Sud et de l’Est. Le groupe s’appuie sur le spearphishing pour livrer des malwares personnalisés, y compris la porte dérobée BurrowShell et un enregistreur de frappe basé sur Rust. Il utilise également de manière intensive les Cloudflare Workers pour soutenir les activités de commande et de contrôle et les opérations de vol d’informations d’identification.

Enquête

Le rapport décrit une campagne en plusieurs étapes impliquant des macros Excel malveillantes et des portails d’authentification usurpés. Les chercheurs ont identifié des sous-domaines Cloudflare conçus pour imiter des entités gouvernementales et ont analysé le shellcode personnalisé du groupe ainsi que ses capacités d’enregistrement de frappe. L’enquête a également montré comment SloppyLemming échappe à l’analyse statique via la résolution dynamique d’API et des charges utiles chiffrées avec RC4.

Atténuation

Les organisations devraient déployer un filtrage d’email robuste pour bloquer les pièces jointes malveillantes et les liens de phishing avant la livraison. Les équipes de sécurité devraient surveiller les modifications non autorisées des clés Run et les relations suspicieuses entre processus parent-enfant, y compris NGenTask.exe le chargement de DLL inattendues. La détection devrait également couvrir le trafic inhabituel des Cloudflare Workers et tout signe d’utilisation non autorisée de jetons OAuth.

Réponse

Si cette activité est détectée, isolez immédiatement les systèmes affectés pour stopper toute exfiltration supplémentaire via le canal de commande et de contrôle. Effectuez une analyse de la mémoire pour récupérer le shellcode BurrowShell et déterminer l’étendue de la compromission. Réinitialisez les informations d’identification de tous les comptes susceptibles d’avoir été exposés via l’enregistreur de frappe ou l’interception OAuth, en portant une attention particulière aux comptes Google.

graph TB %% Définition des classes classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef evasion fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#9b59b6,stroke:#333,stroke-width:2px classDef discovery fill:#f1c40f,stroke:#333,stroke-width:2px classDef collection fill:#1abc9c,stroke:#333,stroke-width:2px classDef command_control fill:#34495e,stroke:#333,stroke-width:2px classDef exfiltration fill:#d35400,stroke:#333,stroke-width:2px %% Nœuds d’accès initial ia_spearphish_attach[« <b>Action</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>Documents Microsoft Excel malveillants<br/>contenant des macros VBA. »] class ia_spearphish_attach initial_access ia_spearphish_link[« <b>Action</b> – <b>T1566.002 Phishing: Spearphishing Link</b><br/>Portails webmail frauduleux ou<br/>leurres PDF modifiés. »] class ia_spearphish_link initial_access %% Nœud d’exécution ex_vba_interpreter[« <b>Action</b> – <b>T1059.005 Command and Scripting Interpreter: Visual Basic</b><br/>Les macros exécutent des téléchargements<br/>et lancent des fichiers malveillants comme audiodg.exe et sppc.dll. »] class ex_vba_interpreter execution %% Nœud de persistance pe_registry_run[« <b>Action</b> – <b>T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder</b><br/>Création d’une entrée de registre<br/>déguisée en OneDrive. »] class pe_registry_run persistence %% Nœuds d’évasion de défense ev_api_hashing[« <b>Action</b> – <b>T1027.007 Obfuscated Files or Information: Dynamic API Resolution</b><br/>La porte dérobée BurrowShell résout<br/>les API Windows par hachage. »] class ev_api_hashing evasion ev_rc4_encryption[« <b>Action</b> – <b>T1027.013 Obfuscated Files or Information: Encrypted/Encoded File</b><br/>Le shellcode est dissimulé sous forme<br/>d’un blob chiffré avec RC4. »] class ev_rc4_encryption evasion ev_masquerading[« <b>Action</b> – <b>T1036.005 Masquerading: Match Legitimate Name or Location</b><br/>Les fichiers sont renommés en<br/>system32.dll ou mscorsvc.dll. »] class ev_masquerading evasion ev_dll_hijack[« <b>Action</b> – <b>T1574.001 Hijack Execution Flow: DLL Search Order Hijacking</b><br/>Détournement du flux d’exécution via<br/>des binaires légitimes comme NGenTask.exe. »] class ev_dll_hijack evasion %% Nœud d’accès aux identifiants ca_keylogger[« <b>Action</b> – <b>T1056 Input Capture: Keylogging</b><br/>Un keylogger basé sur Rust capture<br/>les frappes clavier et les jetons OAuth Google. »] class ca_keylogger credential_access %% Nœud de découverte di_sys_info[« <b>Action</b> – <b>T1082 System Information Discovery</b><br/>BurrowShell collecte les informations système,<br/>notamment le nom de l’ordinateur et l’utilisateur. »] class di_sys_info discovery %% Nœud de collecte co_archive_data[« <b>Action</b> – <b>T1560 Archive Collected Data</b><br/>Des pilotes web basés sur Python parcourent<br/>et téléchargent les pièces jointes des e-mails. »] class co_archive_data collection %% Nœud de commande et contrôle cc_web_protocols[« <b>Action</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>Communication HTTPS avec une infrastructure C2<br/>hébergée sur Cloudflare Workers. »] class cc_web_protocols command_control %% Nœud d’exfiltration ex_c2_channel[« <b>Action</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/>Envoi des données capturées, fichiers<br/>et captures d’écran aux attaquants. »] class ex_c2_channel exfiltration %% Connexions du flux d’attaque ia_spearphish_attach –>|mène_à| ex_vba_interpreter ia_spearphish_link –>|mène_à| ex_vba_interpreter ex_vba_interpreter –>|établit| pe_registry_run ex_vba_interpreter –>|utilise| ev_api_hashing ex_vba_interpreter –>|utilise| ev_rc4_encryption ex_vba_interpreter –>|utilise| ev_masquerading ex_vba_interpreter –>|utilise| ev_dll_hijack ex_vba_interpreter –>|déploie| ca_keylogger ca_keylogger –>|déclenche| di_sys_info di_sys_info –>|précède| co_archive_data co_archive_data –>|communique_via| cc_web_protocols cc_web_protocols –>|facilite| ex_c2_channel

Flux d’Attaque

Exécution de Simulation

Prérequis: Le Contrôle Pré-vol de Télémétrie & Baseline doit avoir réussi.

Rationale: Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront une mauvaise interprétation.

  • Récit de l’Attaque & Commandes : Un adversaire cherche à maintenir la persistance et à exécuter le code discrètement. Ils tentent de détourner le flux de processus en passant comme argument, une technique connue de SloppyLemming. Pour compliquer davantage la détection, ils peuvent également tenter de masquer leur présence en nommant un processus malveillant secondaire mscorsvc.dll dans la ligne de commande. Le but est de déclencher la règle de détection en correspondant à la combinaison spécifique de dans la ligne de commande. Le but est de déclencher la règle de détection en correspondant à la combinaison spécifique de in the command string. The goal is to trigger the detection rule by matching the specific combination of flux de processus en passant et le nom de DLL suspect ou usurpé.

  • Script de Test de Régression :

    # Script de Simulation : Émulation des TTP de SloppyLemming
# Scénario 1 : Détournement de audiodg.exe avec mscorsvc.dll
Write-Host "[+] Simulation du détournement de audiodg.exe avec mscorsvc.dll..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden

# Scénario 2 : Déguisement via OneDrive.exe dans la ligne de commande
Write-Host "[+] Simulation de l'exécution d'audiodg.exe avec le déguisement de OneDrive.exe..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden

  • Commandes de Nettoyage:

    # Nettoyage : Aucuns artefacts permanents ne sont créés par les commandes cmd /c,
# mais nous nous assurons qu'aucun processus suspect persistant n'existe.
Stop-Process -Name "cmd" -ErrorAction SilentlyContinue

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement