Détection de RAT PowerShell : Malware sur mesure utilisé pour pêcher des renseignements liés à la guerre

Les utilisateurs situés en Allemagne sont victimes d’une nouvelle campagne de logiciels malveillants conçue pour diffuser un trojan d’accès à distance PowerShell (RAT) construit sur mesure. Les adversaires ont mis en place un site leurre pour tromper les gens en les incitant à mordre à l’hameçon dans une fausse alerte d’actualité prétendant offrir des informations inédites concernant la situation en Ukraine. Les victimes sont incitées à télécharger un document qui fournira plus d’informations sur le sujet. Ce fichier armé installe un RAT personnalisé qui permet aux attaquants d’effectuer une exécution de commande à distance (RCE) sur une machine compromise.

Comme le suggèrent les données de recherche, pour le moment, il n’y a pas suffisamment de preuves pour montrer qui est exactement responsable des attaques.

Détecter le RAT PowerShell

Déterminez si votre système a été compromis par un RAT PowerShell en identifiant une activité malveillante pertinente avec une règle basée sur Sigma développée par un ingénieur de détection expérimenté du Threat Bounty Program Furkan Celik:

Détecter les tâches planifiées du RAT PowerShell créées sur mesure (via sécurité)

La détection est disponible pour les 16 plateformes SIEM, EDR & XDR, alignées avec le dernier cadre MITRE ATT&CK® v.10, traitant de la tactique d’exécution avec Tâche/Travail planifié (T1053) comme technique principale.

Les professionnels établis dans la chasse aux menaces et la détection de menaces sont invités à contribuer à notre initiative mondiale de crowdsourcing. Défendez la ligne contre les menaces émergentes et monétisez vos compétences avancées en cybersécurité. Rejoignez le SOC Prime Threat Bounty Program et établissez un revenu stable pour votre contenu de détection — comme les règles SIGMA, Yara et Snort.

Voir les détections Rejoindre Threat Bounty

Analyse des logiciels malveillants RAT PowerShell

Malwarebytes des chercheurs ont exposé le RAT PowerShell, un logiciel malveillant d’un acteur de menace probablement soutenu par la Russie qui cible les utilisateurs en Allemagne tentant d’obtenir des renseignements liés à la guerre concernant la crise ukrainienne. Dans la récente campagne d’attaque bien planifiée, les adversaires ont mis en place un faux site web utilisant un domaine expiré précédemment utilisé pour les objectifs gouvernementaux de l’État de Bade-Wurtemberg. Les visiteurs trompés ont été incités à télécharger une archive ZIP prétendument contenant des informations sur la situation menaçante en Ukraine pour le deuxième trimestre 2022, avec des mises à jour régulières au téléchargement. Ce que le fichier offert contenait était un RAT PowerShell sur mesure.

Le fichier ZIP comprend un fichier CHM avec un certain nombre de fichiers HTML compilés. À l’ouverture, la victime se voit montrer un faux avis d’erreur. Pendant ce temps, en arrière-plan, le fichier démarre PowerShell, qui exécute un désobfuscateur Base64 avant de récupérer et d’exécuter un script malveillant du faux site du Bade-Wurtemberg. Enfin, le script dépose deux fichiers sur la machine compromise : un fichier .txt avec le RAT écrit en PowerShell et un fichier .cmd permettant à PowerShell de le lancer. Le RAT récupère et télécharge des fichiers depuis le serveur C&C, charge et exécute un script PowerShell, et exécute une commande spécifique.

Attribuer ces attaques à des acteurs de menace soutenus par la Russie serait assez spéculatif pour le moment, mais la motivation des adversaires correspond au schéma. 

Adapter continuellement les défenses pour surpasser les adversaires peut sembler difficile, mais ensemble, nous sommes plus forts ! Puisez dans la puissance de la plus grande communauté de défense cybernétique au monde de plus de 23 000 professionnels SOC pour renforcer vos pratiques de sécurité avec SOC Prime.