Contenu de Détection : Comportement de GoldenHelper

Dernières Menaces

juillet 17, 2020

2 min de lecture

Contenu de Détection : Comportement de GoldenHelper

Eugene Tkachenko
Eugene Tkachenko Responsable Programme Communautaire linkedin icon Suivre

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnez-vous au Résumé Hebdomadaire

Exclusif pour les utilisateurs de SOC Prime

Newsletter Icon

Cette semaine, nous ne mettrons en avant aucune règle dans la section « Règle de la semaine », car les règles les plus intéressantes ont déjà été publiées dans le digest spécial d’hier, dédié aux règles détectant l’exploitation d’une vulnérabilité critique dans les serveurs DNS Windows, CVE-2020-1350 (alias SIGRed).

La publication d’aujourd’hui est dédiée à la détection du malware GoldenHelper qui était intégré dans un logiciel officiel. Les adversaires ont caché le malware dans le logiciel de facturation Golden Tax (édition Baiwang), requis par les banques chinoises pour le paiement des taxes TVA. Le malware GoldenHelper utilise des techniques sophistiquées pour dissimuler sa distribution, sa présence et son activité. Certaines des techniques intéressantes que GoldenHelper utilise incluent la randomisation du nom en cours de transit, la randomisation de l’emplacement du système de fichiers, le timestomping, le DGA (Domain Generation Algorithm) basé sur IP, le contournement UAC et l’escalade de privilèges. Les versions découvertes de GoldenHelper ont été signées numériquement par NouNou Technologies et conçues pour déposer une charge finale. Les chercheurs croient que la campagne de distribution de ce malware est déjà terminée, mais les attaquants peuvent encore utiliser la charge finale installée sur les systèmes compromis, il est donc recommandé de vérifier les journaux pour détecter des traces du malware GoldenHelper. La nouvelle règle d’Ariel Millahuelest conçue non seulement pour trouver des traces du malware GoldenHelper mais aussi la charge finale installée : https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK :

Tactiques : Évasion de la défense

Techniques : Modifier le registre (T1112)

 

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.
Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko