La chaîne d’infection EnvyScout de NOBELIUM entre dans le registre, ciblant les ambassades.

NOBELIUM est un autre nom pour l’ensemble d’intrusion APT29¹, exploité par un acteur menaçant prétendument lié au SVR (le service de renseignement étranger de la Fédération de Russie)². NOBELIUM a toujours ciblé les organisations gouvernementales, les organisations non gouvernementales, les groupes de réflexion, les militaires, les fournisseurs de services informatiques, les technologies et la recherche en santé et les fournisseurs de télécommunications.

Malgré le faible niveau de sophistication de ses campagnes de phishing ciblant Windows, NOBELIUM est bien connu pour son agilité une fois à l’intérieur du réseau de la victime. Ses opérateurs sont prudents, patients et maîtrisent les techniques d’intrusion de pointe contre les dernières technologies et services Microsoft tels qu’AzureAD. Par exemple, NOBELIUM a utilisé un implant passif maison appelé FoggyWeb pour exfiltrer les jetons d’authentification des serveurs ADFS de manière furtive³.

NOBELIUM a fait la une des journaux il y a un peu plus d’un an, suite à la découverte d’une attaque sophistiquée de la chaîne d’approvisionnement contre le logiciel Solarwinds, compromettant des milliers de personnes avec un validateur baptisé « SunBurst »⁴. Au-delà de son impact et de sa sophistication, l’attaque – telle que révélée par Kaspersky – avait un chevauchement intéressant avec une porte dérobée utilisée par TURLA⁴, un ensemble d’intrusion actif depuis des années et connu pour être prétendument lié au FSB russe. Une opération conjointe entre deux acteurs menaçants russes ou NOBELIUM avait-il accès à la même base de code ? La question reste aujourd’hui sans réponse mais ce n’est pas la première fois que des chevauchements entre ces deux ensembles d’intrusions émergent⁵. 

Tout au long de 2021 et à la suite de l’attaque de SolarWinds, NOBELIUM s’est engagé dans des campagnes de spear phishing en utilisant des e-mails et des messages sur les réseaux sociaux. Ces campagnes n’ont utilisé aucun exploit pour compromettre les terminaux Windows. Ils se sont simplement appuyés sur des pièces jointes HTML malveillantes – appelées EnvyScout par Microsoft⁶– avec une pincée d’ingénierie sociale. En ouvrant la pièce jointe, le fichier HTML extrait de lui-même un fichier ISO en utilisant une technique baptisée HTML Smuggling. L’ISO est ensuite téléchargée par la victime et montée automatiquement sur le poste de travail de la victime, entraînant en fin de chaîne d’exploitation l’exécution d’une balise CobaltStrike.

Nouvelle analyse de la chaîne d’infection EnvyScout.

Le 21 octobre 2021, un nouveau fichier HTML EnvyScout lié à l’ensemble d’intrusion NOBELIUM (3d18bc4bfe1ec7b6b73a3fb39d490b64) correspondait à l’une de nos règles YARA sur VirusTotal avec un taux de détection de 1 sur 56.

La règle a été faite sur les variantes obscurcies possibles d’une boucle JavaScript utilisé dans le fichier initial EnvyScout divulgué par Microsoft (32e0940e1715392280d4bdb514d9cf11)⁶.

Tableau 1. Comparaison des deux boucles

Il convient de noter que ce n’est pas la seule ressemblance entre les deux fichiers, les deux ont également les mêmes en-têtes, avec le même commentaire MOTW⁷, tels que :

Extract 1. Headers in 32e0940e’ and 3d18bc4b’ files

Comme on l’a vu lors d’autres campagnes de phishing rapportées en open-source, ce fichier utilise la technique du « HTML Smuggling » pour extraire un fichier ISO malveillant. En regardant son contenu, ce fichier semble avoir ciblé au moins une ambassade iranienne, comme illustré ci-dessous :

Figure 1. Message affiché à l’utilisateur par le fichier HTML 3d18bc4bfe1ec7b6b73a3fb39d490b64.

Suite à cette première découverte, un autre fichier HTML similaire est sorti début décembre (b87073c34a910f20a83c04c8efbd4f43) mais cette fois sans texte si ce n’est le titre « Covid information ». Le contenu peut avoir été supprimé par les auteurs afin d’empêcher l’identification de la victime. Cependant, la prochaine étape de la chaîne d’infection a révélé qu’elle visait au moins une ambassade de Turquie. Il convient de noter que ces fichiers EnvyScout ne contiennent aucun piège SMB, bogue Web, script de télémétrie ou redirection vers un exploit 0day ciblant iOS comme précédemment vu par Google TAG⁸.

Si nous examinons les métadonnées des fichiers ISO, le nom du volume ISO est le titre du fichier HTA et il existe des horodatages intéressants tels que la «date de création du répertoire racine» ou la «date de création du volume». Dans le premier exemple, 3d18bc4bfe1ec7b6b73a3fb39d490b64, les valeurs d’horodatage sont 2021:10:20 11:27:18-07:00 (heure UTC). Alors que dans le deuxième échantillon, qui a été téléchargé un peu plus tard sur VirusTotal, les valeurs d’horodatage sont 2021:11:12 09:28:40-08:00 (heure UTC).

Ces dates indiquent la dernière fois que le volume a été monté. Ceci est assez intéressant car les fichiers ISO ont en fait simplement été extraits et décodés à partir des fichiers HTML. Il semble donc probable que NOBELIUM ait construit les charges utiles (ou testé toute sa chaîne d’attaque) à ces dates. Si tel est effectivement le cas, cela signifierait que le premier échantillon 3d18bc4bfe1ec7b6b73a3fb39d490b64 a été créé un jour avant son téléchargement sur VirusTotal.

Contrairement aux attaques de spear-phishing NOBELIUM précédemment décrites et divulguées par Microsoft, les fichiers ISO téléchargés ne contenaient plus de DLL malveillante et de raccourci visant à lancer cette DLL. Dans les deux cas, l’ISO embarque simplement un fichier HTML Application (HTA) malveillant, exécutant le reste de la chaîne d’exploitation. Pour le fichier HTA correspondant au premier fichier HTML (3d18bc4bfe1ec7b6b73a3fb39d490b64), le fichier HTA contient le même message que le fichier HTML. Pour le second fichier HTML (b87073c34a910f20a83c04c8efbd4f43), le fichier HTA contient un message similaire au premier fichier mais mentionne cette fois une « Ambassade de la République de Turquie » :

Figure 2. Le message HTA b84c00ae9e7f9684b36d75a1a09f8210.

Notez les légères fautes de frappe qu’ils ont faites dans ce message à « transféré » (tout comme dans le premier fichier HTML) et « thes ».

Dans les deux cas, le fichier HTA contient des éléments HTML masqués incorporant le contenu de deux valeurs de registre différentes. La première valeur de registre porte un chargeur de shellcode écrit en PowerShell dédié au décodage et au chargement d’un shellcode, contenu dans la deuxième valeur de registre. Une fois les valeurs enregistrées dans le registre, le HTA lance une ligne de commande Powershell qui chargera et exécutera le contenu de la première clé de registre, comme indiqué ci-dessous :

Extrait 2. Extrait du HTA b84c00ae9e7f9684b36d75a1a09f8210.

Il convient de noter qu’avant de charger le shellcode, les clés de registre contenant le malveillantes sont supprimées, une belle tentative d’empêcher l’analyse médico-légale. De plus, les noms de clé de registre diffèrent dans les deux exemples (Javasoft et MSOffice). Dans les deux cas, le shellcode charge et exécute en mémoire une DLL embarquée dans celui-ci. Les deux DLL contiennent des dizaines d’exportations mortes, sont fortement obscurcies de la même manière avec beaucoup de code indésirable et de faux appels à l’API Windows. Ils sont utilisés pour décrypter et charger une balise CS cryptée divisée en sept parties différentes à l’intérieur de la DLL. Pour résumer, ils semblent agir comme le loader baptisé NativeZone (variante 1) tel que décrit par Microsoft dans son blogpost⁶. Pour résumer, vous pouvez voir ci-dessous la chaîne d’infection complète utilisée dans ces récentes attaques de spear phishing :

Figure 3. Chaîne d’infection de 3d18bc4bfe1ec7b6b73a3fb39d490b64.

Les deux configurations CobaltStrike ont été extraites facilement et peuvent être trouvées dans l’annexe. Il est intéressant de noter que les clés publiques et l’agent utilisateur sont les mêmes. De plus, l’agent utilisateur ne doit pas être utilisé souvent dans des environnements d’entreprise réels car il est associé à Windows 8 et vous pouvez donc le rechercher sur vos réseaux à des fins de chasse.

Deux C2 différents ont été extraits, midcitylanews[.]com pour l’échantillon ciblant l’Iran et dom-news[.]com pour l’échantillon ciblant la Turquie.

Analyse de l’infrastructure

Les domaines midcitylanews[.]com et dom-news[.]com extraits des balises CobaltStrike ont été enregistrés plus d’un an avant leur utilisation par l’auteur de la menace, ce qui pourrait indiquer que NOBELIUM a tenté d’empêcher la détection de domaines malveillants en se basant sur leur date de création.

Ces domaines ont résolu les adresses IP VPS ayant leurs ports 80 et 443 ouverts. Ils semblent avoir été configurés en utilisant une configuration de redirecteur Nginx pour CobaltStrike C2 appelée « cs2nginx » et disponible pour tout le monde sur Github⁹. 

Cependant, même si les domaines ont été enregistrés il y a un an, les serveurs C2 associés ont été mis en place vers la fin septembre 2021. Par conséquent, cette fois delta, l’utilisation de cs2nginx et le modèle des domaines de typosquatting (par exemple l’utilisation sur  » news » mot-clé pour beaucoup d’entre eux) peut conduire à une certaine illumination de l’infrastructure. Voici l’infrastructure qui peut être saisie en utilisant cette heuristique.

Tableau 3. Infrastructure découverte possiblement liée à NOBELIUM.

Il est intéressant de noter qu’à l’instar de l’infrastructure divulguée par le CERT-FR en décembre 2021¹⁰, ce cluster est réparti entre plusieurs systèmes autonomes, ce qui semble également être une caractéristique de NOBELIUM. 

Au cours de cette enquête, nous avons trouvé d’autres serveurs C2s utilisant la même technique et potentiellement liés à d’autres acteurs de la menace ou équipes rouges. Nous avons décidé de publier cette liste en annexe à des fins de chasse aux menaces dans votre réseau.

Conclusion

La chaîne d’infection et les indicateurs présentés ci-dessus suggèrent que NOBELIUM est associé à ce campagne d’attaque. Après avoir brûlé EnvyScout contre des cibles occidentales, NOBELIUM semble réutiliser cette chaîne d’infection contre d’autres pays. Cependant, en raison de la faible complexité de la chaîne d’infection et des articles de blog précédents concernant EnvyScout, il pourrait s’agir, bien que nous écrivions ceci avec une très faible confiance, d’un autre acteur menaçant copiant NOBELIUM.

Références externes

¹ Alerte (AA21-148A) Une campagne sophistiquée de harponnage cible les organisations gouvernementales, les OIG et les ONG, CISA, 28 mai 2021

² Autres TTP associés aux cyber-acteurs SVR, NCSC, 7 mai 2021

³ FoggyWeb : Le malware NOBELIUM ciblé mène à une porte dérobée persistante, Microsoft, 27 septembre 2021

⁴ SUNBURST Détails techniques supplémentaires, Mandian, 24 décembre 2020

⁵ Porte dérobée Sunburst – chevauchement de code avec Kazuar, Kaspersky, 11 janvier 2021

⁶ Présentation du dernier ensemble d’outils de démarrage de NOBELIUM, Microsoft, 28 mai 2021

⁷ Marque du Web, Microsoft, 11 mai 2015

⁸ Comment nous protégeons les utilisateurs contre les attaques 0-day, Google TAG, 12 juillet 2021

⁹ Code source de Cs2modrewrite sur Github

¹⁰ Campagnes de phishing par l’ensemble d’intrusion Nobelium, CERT-FR, 6 décembre 2021

Tactiques, Techniques et Procédures (TTP)

T1583.001 – Acquérir Infrastructure : Domaines

T1583.003 – Acquérir Infrastructure : Serveur Privé Virtuel

T1566.001 – Phishing : Spearphishing Attachement

T1566.003 – Hameçonnage : Spearphishing via le service

T1059.001 – Interpréteur de commandes et de scripts : PowerShell

T1204.002 – Exécution de l’utilisateur : fichier malveillant

T1027.006 – Fichiers ou informations obscurcis : contrebande HTML aux protocoles Web

IOC associés

Les IOC sont fournis « tels quels ». Tous les IOC sont téléchargeables aux formats JSON STIX2.1 et CSV sur le Github SEKOIA.IO : https://www.github.com/SEKOIA-IO/Community/tree/main/IOCs

Domaines

crochetnews[.]com
dom-news[.]com
readnewshot[.]com
pharaosjournal[.]com
bfilmnews[.]com
theanalyticsnews[.]com
galatinonews[.]com
midcitylanews[.]com
muslimnewsdaily[.]com

Adresses IP

31.42.177[.]78
158.255.211[.]40
45.14.70[.]186
46.102.152[.]118
139.99.178[.]56
95.183.51[.]161
195.144.21[.]159
103.232.53[.]230
194.62.42[.]109

Autres domaines suspectés d’utiliser cs2nginx

Ces domaines sont suspectés d’utiliser cs2nginx. Nous n’avons pas été en mesure de les lier à NOBELIUM et ils pourraient être liés à d’autres menaces. Ils sont fournis « tels quels », uniquement à des fins de chasse dans votre propre réseau.

updates.uk[.]com
onlinebusinessadviceuk[.]com
assets.completehealthcareuk[.]net
d2rwiki[.]net
taiwancht[.]com
herosofthestorms[.]com
note.legendsec[.]net
faststartbusiness[.]com
msdnsvc[.]com
assets.bettendorfhealthcare[.]com
eblogpro[.]com
getdsoft[.]com
themobilecard[.]com
c***solutions[.]support
v*****managernent[.]com
e*****x[.]me
img.microsoftupdate.cc 
windows.msgetupdate.com 
fwd.splunk.eu.com 
file.updateswindows.com

Files MD5 hashes

054940ba8908b9e11f57ee081d1140cb
b84c00ae9e7f9684b36d75a1a09f8210
3d18bc4bfe1ec7b6b73a3fb39d490b64
b87073c34a910f20a83c04c8efbd4f43
d4fdf63d88da2d59569bb621b18bf5e4
41dd8cee47c036e7e9e92c395c5d1feb
b7ca8c46dc1bfc1d9cb9ce04a4928153
cc08a6df151b8879a4969b2e99086b48
4365057ef0c5a9518d95d53eab5995a8

Règles YARA

rule apt_nobelium_powsershell_reg_loader_decoded {
    meta:
        id = “c8ee9c40-fa28-4b9a-98e8-88ccc4a16091“
        description = “Matches the decoded version of the Powershell loader stored in the registry“
        version = “1.0“
        creation_date = “2021-12-07“
        modification_date = “2021-12-07“
        classification = “TLP:WHITE“
        source=“SEKOIA“
    strings:
        $x = “FromBase64String((gp HKCU:\\\\SOFTWARE\\\\“
        $y = “Remove-ItemProperty HKCU:\\\\SOFTWARE\\\\“
        $z = “Invoke([IntPtr]::Zero)“
   condition:
        filesize < 3KB and
        $x and #y == 2 and
        $z at (filesize-22)

}

rule apt_nobelium_hta_reg_dropper {
    meta:
        id = “9f6a2154-c33a-4c38-9667-7479bf49c310“
        description = “Matches HTA dropper file used by NOBELIUM and ISO files containing it“
        hash = “054940ba8908b9e11f57ee081d1140cb“
        hash = “b7ca8c46dc1bfc1d9cb9ce04a4928153“
        version = “1.0“
        creation_date = “2021-12-07” 
        modification_date = “2021-12-07“
        classification = “TLP:WHITE“
        source=“SEKOIA“
    strings:
        $w = “RegWrite(“ nocase
        $x = { 2b 3d 20 64 6f 63 75 6d
                   65 6e 74 2e 67 65 74 45
                   6c 65 6d 65 6e 74 42 79
                   49 64 28 22 [0-4] 22 29
                   2e 69 6e 6e 65 72 48 54
                   4d 4c }
        $y = “<body onload=“ nocase
        $z = “hidden“ nocase
    condition:
        $y and
       (3 < #z) and
       (3 < #x) and
       (1 < #w)

}

rule apt_nobelium_hta_in_iso {
     meta:
         id = “874ab41b-5c60-4303-8776-e1c10313a401“
        description = “Matches ISO file embedding HTA“
        hash = “d4fdf63d88da2d59569bb621b18bf5e4“
        hash = “cc08a6df151b8879a4969b2e99086b48“
        version = “1.0“
        creation_date = “2021-12-02” 
        modification_date = “2021-12-02“
        classification = “TLP:WHITE“
        source=“SEKOIA“
    strings:
        $ = “ImgBurn v2“
        $ = “<hta:application“
    condition:
        all of them and
        filesize > 1MB and
        filesize < 3MB 

}

rule apt_nobelium_html_smuggling_iso {
    meta:
        id = “9bd5b626-8ea3-4607-a858-58deff18396c“
        version = “1.0“
        description = “Detect HTML smuggling with ISO“
        hash = “b87073c34a910f20a83c04c8efbd4f43” 
        hash = “3d18bc4bfe1ec7b6b73a3fb39d490b64“
        source = “SEKOIA“
        creation_date = “2022-01-02” 
        modification_date = “2022-01-02“
        classification = “TLP:WHITE“
    strings:
        $ = “new Blob“
        $ = “.click();“
        $ = { 28 [1-20] 2c 22 [1-20]
                 2e 69 73 6f 22 2c 22 61
                 70 70 6c 69 63 61 74 69
                 6f 6e 2f 78 2d 63 64 2d
                 69 6d 61 67 65 22 29 }
    condition:
        filesize > 1MB and filesize < 2MB and all of them

}

rule apt_nobelium_b64_to_Uint8Array {
    meta:
        id = “66c9b00b-f021-4115-b9ec-d1e1f491ce72“
        description = “Detect Base64 decode to Uint8Array used in NOBELIUM HTML files“
        hash = “3d18bc4bfe1ec7b6b73a3fb39d490b64“
        version = “1.0“
        creation_date = “2021-12-02” 
        modification_date = “2021-12-02“
        classification = “TLP:WHITE“
        source=“SEKOIA“
    strings:
        $a1 = “atob(“
        $l0 = { 20 3c 20 [2-10] 2e 6c 65 6e 67 74 68 3b 20 69 2b 2b 29 7b }
        $l1 = { 5b 69 5d 20 3d 20 [2-10] 2e 63 68 61 72 43 6f 64 65 41 74 28 69 29 3b }
        $a2 = “new Uint8Array“
    condition:
        $l0 in (@a1..@a2) and
        $l1 in (@a1..@a2) and
        filesize > 1MB and filesize < 3MB 

}

import “pe“
rule apt_nobelium_cs_loader_obfuscation {
    meta:
        id = “5f21b031-3dc1-4dad-b775-6099bfcb0472“
        version = “1.0“
        description = “Detect obfuscated CobaltStrike loaders used by NOBELIUM”    
        hash = “41dd8cee47c036e7e9e92c395c5d1feb“
        hash = “4365057ef0c5a9518d95d53eab5995a8“
        source = “SEKOIA“
        creation_date = “2022-01-04“
        modification_date = “2022-01-04“
        classification = “TLP:WHITE“
    strings:
        $j1 = { DD 05 ?? ?? ?? ?? DD 9D }
        $j2 = { C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 }
        $c1 = { 81 7D ?? FF 00 00 00 0F 8E ?? ?? FF FF }
    condition:
        pe.characteristics & pe.DLL and
        pe.number_of_exports > 20 and
        filesize > 300KB and filesize < 400KB and
        #j1 > 50 and #j2 > 50 and #c1 == 2

 }

Règles Sigma

id: d9114938-6877-48d8-a785-bc07cb7220ff
title: PowerShell invoking in the command line a registry value to execute.
description: Detects a d9114938 execution which grabs a value in the windows registry to execute it.
references:

    – MD5 hash: b84c00ae9e7f9684b36d75a1a09f8210

    – MD5 hash: 054940ba8908b9e11f57ee081d1140cb

status: experimental
author: ‘SEKOIA.IO’
date: 2022/01/03
tags:
    – attack.T1059.001
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        Image|contains: ‘powershell’
        CommandLine|contains: ‘HKCU’
    selection2
        CommandLine|contains:
            – ‘invoke-expression’
            – ‘iex’
        CommandLine|contains:
            – ‘gp’
            – ‘Get-ItemProperty’
    condition: selection and selection2
level: medium

Clés de registre

HKCU\SOFTWARE\MSOffice\Version
HKCU\SOFTWARE\MSOffice\path
HKCU\SOFTWARE\JavaSoft\Ver
HKCU\SOFTWARE\JavaSoft\Ver2

Configurations CobaltStrike

Configuration of the CobaltStrike beacon launched from the Iranian decoy (from 1768.py, Didier Stevens’ tool):

Config found: xorkey b’.’ 0x00000000 0x000041f0
0x0001 payload type                     0x0001 0x0002 8 windows-beacon_https-reverse_https
0x0002 port                             0x0001 0x0002 443
0x0003 sleeptime                        0x0002 0x0004 60000
0x0004 maxgetsize                       0x0002 0x0004 1398104
0x0005 jitter                           0x0001 0x0002 30
0x0007 publickey                        0x0003 0x0100 30819f300d06092a864886f70d010101050003818d0030818902818100a6be0ed930ab8ecb86facd6419bbe38fb5bc87449bf0d9214cd713d8f2b81e8c5705ca8e5cd0965376322c9f5fcfdbd647ca208c02ecb130593d516837b167992a49dbd6febe34541c30bc988dcb5742e3a7a44549d7b3364fe88e914bcca01c0175668d10f4c36c94bc33e348197824611eb4a3341f10c5b02080b02bcf62fb020301000100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
0x0008 server,get-uri                   0x0003 0x0100 ‘midcitylanews.com,/news/update/aaa’
0x000e SpawnTo                          0x0003 0x0010 (NULL …)
0x001d spawnto_x86                      0x0003 0x0040 ‘%windir%\\syswow64\\dllhost.exe’
0x001e spawnto_x64                      0x0003 0x0040 ‘%windir%\\sysnative\\dllhost.exe’
0x001f CryptoScheme                     0x0001 0x0002 0
0x001a get-verb                         0x0003 0x0010 ‘GET’
0x001b post-verb                        0x0003 0x0010 ‘POST’
0x001c HttpPostChunk                    0x0002 0x0004 0
0x0025 license-id                       0x0002 0x0004 1359593325
0x0026 bStageCleanup                    0x0001 0x0002 0
0x0027 bCFGCaution                      0x0001 0x0002 0
0x0009 useragent                        0x0003 0x0100 ‘Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36’
0x000a post-uri                         0x0003 0x0040 ‘/form/sent/ppw’
0x000b Malleable_C2_Instructions        0x0003 0x0100 ‘\x00\x00\x00\x04\x00\x00\x00\x03’
0x000c http_get_header                  0x0003 0x0200
    Content-Type: text/html
    Cache-Control: no-cache
    v1.5472
0x000d http_post_header                 0x0003 0x0200
    !Content-Type: multipart/form-data
    Cache-Control: no-cache
    /.jpg
0x0036 HostHeader                       0x0003 0x0080 (NULL …)
0x0032 UsesCookies                      0x0001 0x0002 0
0x0023 proxy_type                       0x0001 0x0002 2 IE settings
0x003a                                  0x0003 0x0080 ‘\x00\x05\x90’
0x0039                                  0x0003 0x0080 ‘\x00\x05p’
0x0037                                  0x0001 0x0002 0
0x0028 killdate                         0x0002 0x0004 0
0x0029 textSectionEnd                   0x0002 0x0004 0
0x002b process-inject-start-rwx         0x0001 0x0002 4 PAGE_READWRITE
0x002c process-inject-use-rwx           0x0001 0x0002 32 PAGE_EXECUTE_READ
0x002d process-inject-min_alloc         0x0002 0x0004 17500
0x002e process-inject-transform-x86     0x0003 0x0100 ‘\x00\x00\x00\x02\x90\x90’
0x002f process-inject-transform-x64     0x0003 0x0100 ‘\x00\x00\x00\x02\x90\x90’
0x0035 process-inject-stub              0x0003 0x0010 ‘\x0câõTDäy5\x16µ¯ég¾\x92U’
0x0033 process-inject-execute           0x0003 0x0080 ‘\x06\x00&\x00\x00\x00\x06ntdll\x00\x00\x00\x00\x13RtlUserThreadStart\x00\x01\x08\x07\x00Q\x00\x00\x00\rkernel32.dll\x00\x00\x00\x00\rLoadLibraryA\x00\x04’
0x0034 process-inject-allocation-method 0x0001 0x0002 1
0x0000
Guessing Cobalt Strike version: 4.1+ (max 0x003a)

 Configuration of the CobaltStrike beacon launched from the Turkish decoy (from 1768.py, Didier Stevens’ tool):

 Config found: xorkey b’.’ 0x00000000 0x0000bff0
0x0001 payload type                 0x0001 0x0002 8 windows-beacon_https-reverse_https
0x0002 port                         0x0001 0x0002 443
0x0003 sleeptime                    0x0002 0x0004 60000
0x0004 maxgetsize                   0x0002 0x0004 1398104
0x0005 jitter                       0x0001 0x0002 30
0x0007 publickey                    0x0003 0x0100 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
0x0008 server,get-uri               0x0003 0x0100 ‘dom-news.com,/info/www/robot’
0x000e SpawnTo                      0x0003 0x0010 (NULL …)
0x001d spawnto_x86                  0x0003 0x0040 ‘%windir%\\syswow64\\dllhost.exe’
0x001e spawnto_x64                  0x0003 0x0040 ‘%windir%\\sysnative\\dllhost.exe’
0x001f CryptoScheme                 0x0001 0x0002 0
0x001a get-verb                     0x0003 0x0010 ‘GET’
0x001b post-verb                    0x0003 0x0010 ‘POST’
0x001c HttpPostChunk                0x0002 0x0004 0
0x0025 license-id                   0x0002 0x0004 1359593325
0x0026 bStageCleanup                0x0001 0x0002 0
0x0027 bCFGCaution                  0x0001 0x0002 0
0x0009 useragent                    0x0003 0x0100 ‘Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36’
0x000a post-uri                     0x0003 0x0040 ‘/assets/image/awd’
0x000b Malleable_C2_Instructions    0x0003 0x0100 ‘\x00\x00\x00\x04\x00\x00\x00\x03’
0x000c http_get_header              0x0003 0x0200
    Content-Type: text/html
    Cache-Control: no-cache
    .html
    Cookie
0x000d http_post_header             0x0003 0x0200
    Content-Type: image/jpeg
    Accept-Encoding: gzip, deflate
    Cache-Control: no-cache
    /.png
0x0036 HostHeader                   0x0003 0x0080 (NULL …)
0x0032 UsesCookies                  0x0001 0x0002 1
0x0023 proxy_type                   0x0001 0x0002 2 IE settings
0x003a                              0x0003 0x0080 ‘\x00\x05\x90’
0x0039                              0x0003 0x0080 ‘\x00\x05p’
0x0037                              0x0001 0x0002 0
0x0028 killdate                     0x0002 0x0004 0
0x0029 textSectionEnd               0x0002 0x0004 0
0x002b process-inject-start-rwx     0x0001 0x0002 4 PAGE_READWRITE
0x002c process-inject-use-rwx       0x0001 0x0002 32 PAGE_EXECUTE_READ
0x002d process-inject-min_alloc     0x0002 0x0004 17500
0x002e process-inject-transform-x86 0x0003 0x0100 ‘\x00\x00\x00\x02\x90\x90’
0x002f process-inject-transform-x64 0x0003 0x0100 ‘\x00\x00\x00\x02\x90\x90’
0x0035 process-inject-stub          0x0003 0x0010 ‘\x0câõTDäy5\x16µ¯ég¾\x92U’
0x0033 process-inject-execute       0x0003 0x0080 ‘\x06\x00&\x00\x00\x00\x06ntdll\x00\x00\x00\x00\x13RtlUserThreadStart\x00\x01\x08\x07\x00Q\x00\x00\x00\rkernel32.dll\x00\x00\x00\x00\rLoadLibraryA\x00\x04’
0x0034 process-inject-allocation-method 0x0001 0x0002 1
0x0000
Guessing Cobalt Strike version: 4.1+ (max 0x003a)

Lire notre article sur :

• MSDT abusé pour atteindre RCE sur Microsoft Office
• Invasion de l’Ukraine – quelles implications dans le cyberespace ?
• Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
• Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité