Posté le mai 5, 2022 à 7:07
UN RAPPORT RÉVÈLE QUE LES HACKERS UTILISENT UNE TECHNIQUE INCONNUE POUR IMPLANTER DES LOGICIELS MALVEILLANTS SANS FICHIER
Les chercheurs de la société de cybersécurité Kaspersky ont découvert une campagne malveillante qui utilise une nouvelle technique pour implanter des logiciels malveillants sans fichier sur les ordinateurs cibles. Selon le rapport, les hackers injectent un shellcode directement dans les journaux d’événements de Windows, ce qui leur permet d’utiliser ces journaux comme couverture pour des chevaux de Troie malveillants de stade avancé. La campagne a été découverte par les chercheurs en février, mais ils pensent que les acteurs malveillants sont actifs depuis des mois.
« Nous considérons que la technique des journaux d’événements, que nous n’avons jamais vue auparavant, est la partie la plus innovante de cette campagne », a commenté Denis Legezo, chercheur en sécurité senior chez Kaspersky.
Les hackers incitent leurs victimes à télécharger le module Cobalt Strike
Dans son rapport de recherche, Kaspersky indique que la première étape de l’attaque a commencé en septembre 2021. Les hackers incitent leurs victimes à télécharger un module Cobalt Strike signé numériquement.
L’utilisation des journaux d’événements pour la dissimulation de logiciels malveillants est une nouvelle technique qui n’a jamais été vue auparavant dans la nature, selon les chercheurs en sécurité.
Bien que les attaques n’aient été liées à aucun acteur connu, le groupe utilise une méthode unique puisqu’il patche les fonctions API natives de Windows liées à une interface d’analyse anti-logiciels malveillants et de suivi des événements pour s’assurer que l’attaque reste puissante.
Les acteurs de la menace ont également conçu des moyens d’éviter la détection en utilisant des domaines dont les noms imitent des noms légitimes. Ils emploient également différents décrypteurs anti-détection et utilisent des serveurs privés virtuels pour rester sous le radar et éviter d’être exposés.
En outre, les hackers à l’origine de la campagne utilisent un large éventail de techniques anti-détection et d’outils d’injection pour délivrer la charge utile du logiciel malveillant. Ils ont investi massivement dans cette action et utilisent au moins deux produits commerciaux comme outils pour lancer l’attaque. En dehors des investissements, les chercheurs ont déclaré que les acteurs malveillants derrière la campagne sont sophistiqués et hautement qualifiés.
L’acteur de la menace utilise 15 certificats numériques différents
Les chercheurs ont déclaré que la première étape de l’attaque utilise un site Web légitime et incite les cibles à télécharger un fichier .RAR compressé. Ces fichiers sont piégés avec des outils de test de pénétration de réseau connus sous le nom de SilentBreak et Cobalt Strike. Il s’agit de deux outils populaires que d’autres acteurs de menaces utilisent pour diffuser des shellcodes lors de leurs attaques.
SilentBreak et Cobalt Strike utilisent des décrypteurs AES anti-détection différents, compilés avec Visual Studio.
Les chercheurs ont également noté que l’attaquant utilise différents certificats numériques pour l’outil Cobalt Strike. Dans ce cas, les attaquants ont signé 15 certificats numériques différents de la première à la dernière phase de l’attaque.
Après avoir mis en place la première étape de l’attaque, les acteurs de la menace s’appuient sur SilentBreak et Cobalt Strike pour « injecter du code dans le processus ». En outre, ils sont capables d’injecter d’autres modules dans des applications légitimes ou dans les processus du système Windows, en fonction du déroulement de la première injection de code.
La capacité de l’acteur de la menace à implanter un logiciel malveillant dans la mémoire du système a été qualifié de « sans fichier ». Il s’agit d’un moyen unique d’implanter des logiciels malveillants sur des systèmes informatiques, car il ne laisse aucune trace ou artefact sur le disque dur local. Il est donc plus facile pour les hackers de contourner les systèmes de sécurité et de rester cachés dans la machine affectée pendant longtemps.
Les hackers utilisent une technique inédite
Cette méthode permet aux hackers de dissimuler leurs opérations dans la mémoire vive d’un ordinateur tout en utilisant un outil natif de Windows comme Windows Management Instrumentation et PowerShell. Les chercheurs ont noté que cette méthode a été utilisée par plusieurs autres acteurs de menaces auparavant.
Cependant, ce qui est nouveau, c’est la façon dont les hackers introduisent le shellcode crypté qui contient la charge utile malveillante dans les journaux d’événements de Windows. Les hackers vont également plus loin en divisant le code en blocs de 8 Ko pour éviter la détection.
En plus de placer le lanceur sur le disque pour un chargement latéral, le dropper écrit également des informations dans le journal KMS de Windows à l’aide du shellcode.
Selon Legezo, le chargeur wer.dll déposé n’a aucun impact s’il n’est pas accompagné du shellcode caché dans les journaux d’événements de Windows. Les acteurs de la menace sont bien conscients de ce fait, c’est pourquoi ils ont décidé de déployer le shellcode.
Mais le dropper remplit également une fonction importante. Il recherche la catégorie 0x4142 dans les journaux d’événements, en utilisant le Key Management Service comme source. S’il ne trouve personne, les paquets de 8 Ko du shellcode sont codés dans le message d’enregistrement des informations via la fonction ReportEvent() de l’API Windows.
Les chercheurs ont signalé que le code utilisé par les acteurs de la menace est unique et n’a jamais été vu dans un logiciel malveillant connu par le passé.