Contenu de Détection : Chasse au Netwire RAT

NetWire est un cheval de Troie d’accès à distance disponible publiquement qui fait partie de la famille de logiciels malveillants NetWiredRC utilisés par les cybercriminels depuis 2012. Sa fonctionnalité principale est axée sur le vol d’informations d’identification et la capture de frappes au clavier, mais il dispose également de capacités de contrôle à distance. Les adversaires distribuent souvent NetWire via des campagnes de spam et des e-mails de phishing. 

Dans une campagne récente, des cybercriminels ont ciblé des utilisateurs en Allemagne et ont déguisé des e-mails d’hameçonnage en courrier, colis et service de messagerie express allemand DHL. Les attaquants ont utilisé des documents MS Excel comme pièce jointe malveillante. Cela active une commande PowerShell pour télécharger deux fichiers depuis Pastebin et effectuer des remplacements de caractères pour décoder le fichier DLL, télécharger le RAT NetWire obfusqué, puis utiliser le DLL décodé pour injecter le cheval de Troie dans le processus légitime. 

Nouvelle règle de chasse aux menaces par Osman Demir dévoile une commande PowerShell pour télécharger des fichiers malveillants et effectuer une injection de processus dans un fichier Windows légitime.

Netwire RAT via paste.ee et MS Excel – https://tdm.socprime.com/tdm/info/999rWf0zExpC/YyFoJ3IBjwDfaYjKeoqF/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Commandement et contrôle

Techniques : Outils d’accès à distance (T1219)

Vous pouvez également consulter la règle communautaire Détection de Netwire RAT via WScript: https://tdm.socprime.com/tdm/info/uI7Og7wR6TUZ/SDkzRW4BLQqskxffI-01/