Posté le novembre 14, 2022 à 5:39
LES ACTEURS DE LA MENACE WOROK DÉCOUVERTS EN TRAIN D’IMPLANTER DES LOGICIELS MALVEILLANTS DANS DES FICHIERS PNG POUR VOLER DES INFORMATIONS
Les chercheurs de la société de cybersécurité Avast, qui ont repris la découverte antérieure d’ESET, ont révélé que des acteurs de la menace dissimulent des logiciels malveillants qui volent des informations pour infecter silencieusement les ordinateurs des victimes.
Le logiciel malveillant se propage par le biais de failles de ProxyShell
Selon les rapports, les acteurs de la menace, connus sous le nom de « Worok », ont ciblé des gouvernements locaux et des grandes entreprises en Asie. Actuellement, ils lancent des attaques contre des entreprises du secteur public en Asie du Sud-Est et des sociétés d’énergie en Asie centrale. Ils volent les données des organisations en fonction du type d’organisation et des services qu’elles proposent.
Les rapports ont révélé que les acteurs de la menace ont diffusé le logiciel malveillant par le biais des vulnérabilités de ProxyShell. Dans certaines attaques, les failles de ProxyShell ont été exploitées pour maintenir la persistance sur le réseau ciblé.
Les acteurs de la menace ont ensuite utilisé des outils d’exploitation accessibles au public pour diffuser leurs kits malveillants personnalisés. La dernière chaîne d’attaque était plus simple après avoir réussi à infiltrer le système ciblé et à gagner en persistance. Dans la première étape, ils ont utilisé le CLRLoader qui exécute un petit morceau de code pour le PNGLoader.
Les logiciels de sécurité ne pouvaient pas détecter le voleur d’informations cachées sur les fichiers PNG
Les acteurs de la menace connaissent très bien les techniques stéganographiques, qui ont été utilisées pour l’exploit. Dans ce cas, ils ont utilisé le bit de poids faible (LSB), l’une des techniques stéganographiques les plus utilisées, selon les experts en sécurité.
Avast et ESET n’ont pas réussi à récupérer les scripts PowerShell, qui constituent la première charge utile extraite de ces bits par PNGLoader.
La deuxième charge utile est un voleur d’informations C# personnalisé .NET connu sous le nom de DropBoxControl. Il est utilisé pour exploiter les services hébergeant DropBox à des fins d’exfiltration de fichiers, de communication C2 et autres. Les chercheurs ont révélé que les acteurs de la menace ont caché le voleur d’informations dans les fichiers PNG, les rendant indétectables par les outils de sécurité.
Les acteurs de la menace bénéficient d’un fort soutien des groupes APT
La stéganographie permet de dissimuler du code à l’intérieur de fichiers image qui semblent normaux lorsqu’ils sont ouverts dans une visionneuse d’images. La charge utile C#, qui est intégrée à la stéganographie, est utilisée pour vérifier que « Worok » est le groupe de cyberespionnage. Ils ciblent ensuite des appareils et volent des données via le compte DropBox lié aux emails Google actuels.
Il est également possible que les outils Worok aient été conçus par une APT qui concentre ses attaques sur des cibles de premier plan dans les secteurs public et privé en Amérique du Nord, en Afrique et en Asie. Les chercheurs pensent que les acteurs de Worok sont sérieusement soutenus ou bénéficient d’un fort soutien de la part de groupes APT en raison de leur rareté dans la nature.
Les acteurs des États-nations sont de plus en plus nombreux à utiliser la technique de la stéganographie
La stéganographie a également été utilisée pour une bonne cause par le passé. L’utilisation de la stéganographie a été documentée pendant le mandat du Premier ministre Britannique Margaret Thatcher. Elle a été déployée pour identifier les personnes qui divulguaient des informations non autorisées à la presse.
Mais la popularité croissante de la stéganographie signifie que des acteurs étatiques se sont également impliqués dans son utilisation. C’est ce qui s’est produit en 2010, lorsque 10 officiers Russes du SRV ont été arrêtés après avoir plaidé coupable de cyberespionnage. Mais ils ont été renvoyés en Russie en raison d’un « échange » entre les États-Unis et la Russie impliquant l’utilisation de la stéganographie.
Avec l’augmentation de l’utilisation d’Internet et la multiplication des plateformes de communication numérique, les acteurs de la menace ont de plus en plus recours à la stéganographie pour introduire des charges utiles malveillantes dans les appareils de leurs cibles.
Les acteurs de la menace ont également utilisé la technique de DLL sideloading
Les chercheurs ont également expliqué comment les hackers transmettent leur charge utile malveillante aux systèmes de leurs cibles et passent inaperçus. Les hackers sont à l’affût des tendances dans les différents espaces Internet tels que les médias sociaux. Dans la plupart des cas, ils recherchent des événements récents qui ont suscité la curiosité des utilisateurs de médias sociaux.
Dès qu’ils voient une information qui sera à la mode, ils créent leur légende et implantent une charge utile malveillante sur le lien. Lorsque l’utilisateur finit par cliquer sur le lien, il télécharge sans le savoir ces fichiers infestés de logiciels malveillants qui sont correctement cachés des logiciels de sécurité.
Une fois que la charge utile s’est téléchargée dans le système de la victime, elle commence à faire des ravages partout, à la recherche d’informations importantes stockées dans l’ordinateur.
Le rapport d’Avast se fonde sur des artefacts capturés par la société de sécurité lors d’attaques de Worok, qui confirment les hypothèses d’ASET concernant les fichiers PNG.
Bien que la méthode utilisée pour infiltrer le réseau soit encore inconnue, Avast a déclaré que les acteurs de la menace ont probablement utilisé la technique de DLL sideloading pour exécuter le logiciel malveillant CLRLoader en mémoire. Cette hypothèse se fonde sur les activités que la société de sécurité a observées dans certains des systèmes touchés, où quatre DLL contenant le CLRLoader ont été découvertes.
