Contenu de Détection : Himera Loader

Le post d’aujourd’hui est dédié au malware chargeur Himera que les adversaires utilisent dans des campagnes de phishing liées au COVID-19 depuis le mois dernier. Les cybercriminels continuent d’exploiter les demandes d’actes de congé familial et médical liées aux pandémies continuelles de COVID-19 comme appât, puisque ce thème a déjà prouvé son efficacité dans la distribution des voleurs d’informations Trickbot et Kpot. 

Dans les campagnes récentes, les e-mails ont été militarisés avec deux outils cyber-criminels universels : Himera et Absent-Loader. Cette semaine, Osman Demir a publié une règle de chasse aux menaces communautaire pour détecter les échantillons de chargeur Himera liés à ces campagnes : https://tdm.socprime.com/tdm/info/xiOqL9btiBMi/pOZfdXIBv8lhbg_imf_P/?p=1

Dans cette campagne, les adversaires n’exploitent aucun type de macro ou d’exploit dans le document malveillant, à la place, le document contient l’exécutable complet en tant qu’objet intégré. Le chargeur Himera se spécialise dans le chargement du code des malwares de la prochaine étape sur la machine de la victime. Il exécute quelques techniques classiques d’anti-analyse utilisant l’API Windows pour éviter de révéler le chargement principal aux chercheurs et garder la campagne secrète plus longtemps.

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution

Techniques : Exécution utilisateur (T1204)