Un nouveau groupe de menaces de cyberespionnage utilise un nouveau logiciel malveillant de porte dérobée qui fournit un accès persistant via une tâche planifiée apparemment inactive.
Les opérations de l’acteur menaçant semblent soutenir les intérêts russes en ciblant les organes gouvernementaux et judiciaires en Géorgie et les entreprises énergétiques en Moldavie.
L’attaquant est actuellement suivi en tant que Camarades bouclés et est actif depuis la mi-2024 et utilise un composant mallware personnalisé en trois étapes que les chercheurs appellent MucorAgent.
Chaîne d’attaque des camarades bouclés
Dans un rapport publié aujourd’hui, la société de cybersécurité Bitdefender décrit MucorAgent comme un logiciel malveillant « complexe » conçu comme un outil furtif.NET capable d’exécuter un script PowerShell crypté AES et de télécharger la sortie résultante sur un serveur désigné. »
Les chercheurs ont nommé l’acteur menaçant Camarades bouclés en raison de l’utilisation intensive de la boucle.outil exe pour l’exfiltration de données et la communication avec le serveur de commande et de contrôle (C2), et en raison du détournement d’objets COM (Component Object Model) pendant l’attaque.
Bien qu’aucun chevauchement important avec des groupes APT russes connus n’ait été trouvé, les chercheurs affirment que les opérations du groupe de menace « s’alignent sur les objectifs géopolitiques de la Fédération de Russie. »
Les chercheurs n’ont pas pu déterminer le vecteur d’accès initial, mais ont observé l’installation de plusieurs agents proxy, y compris les Resocks basés sur Go, dans les systèmes internes.
Les réapprovisionnements sont récupérés via curl.exe et enregistré en tant que tâches planifiées ou services Windows pour la persistance, communiquant avec le C2 via TCP 443 ou 8443.
Pour la redondance, les pirates déploient également des serveurs SOCKS5 personnalisés et SSH + Stunnel pour la redirection de port à distance.
Certaines connexions SSH sont acheminées via un outil personnalisé, CurlCat, qui utilise la bibliothèque libcurl et un alphabet Base64 personnalisé pour obscurcir le trafic en le relayant via des sites Web légitimes compromis.
Mécanisme de persistance incohérent
Bitdefender note que le mécanisme de persistance qu’ils ont découvert était erratique car il a été réalisé en détournant les CLSIDS pour cibler NGEN (Générateur d’image natif).
NGEN est un composant Windows. NET Framework par défaut pour la précompilation des assemblys et peut offrir une persistance via une tâche planifiée désactivée.
Cependant, même si la tâche semble inactive, le système d’exploitation l’active et l’exécute à des intervalles aléatoires (par exemple, des temps d’inactivité, lors du déploiement d’une nouvelle application), expliquent les chercheurs.
« Compte tenu de cette imprévisibilité, il est probable qu’un mécanisme secondaire, plus prévisible, pour exécuter cette tâche spécifique existait également » – Bitdefender
Dans certains cas, les attaquants ont également installé le logiciel de surveillance à distance légitime Remote Utilities (RuRat) pour maintenir un contrôle interactif.
De plus, ils ont utilisé l’outil de surveillance et de gestion à distance (RMM), un utilitaire légitime largement utilisé par les professionnels de l’informatique pour surveiller, gérer et entretenir les actifs informatiques des clients, tels que les serveurs, les ordinateurs de bureau et les appareils mobiles.
Porte dérobée furtive MucorAgent. NET
La porte dérobée MucorAgent se compose de trois composants, qui peuvent détourner un gestionnaire COM légitime et charger une deuxième étape. NET qui exécute un composant pour contourner l’interface d’analyse Antimalware (AMSI) dans Windows.
La troisième charge utile recherche des index à des emplacements spécifiques.png et icône.les fichiers png, qui sont des blocs de données cryptés (probablement des scripts) téléchargés à partir de sites Web compromis.
Selon Bitdefender, l’attaquant a collecté des informations d’identification valides, probablement dans le but de se déplacer sur le réseau, de voler et d’exfiltrer des données.
Ils notent que l’auteur de la menace « a tenté à plusieurs reprises d’extraire la base de données NTDS des contrôleurs de domaine » et « a tenté de vider la mémoire LSASS de systèmes spécifiques pour récupérer les informations d’identification des utilisateurs actifs. »
Bitdefender a également observé l’exécution de commandes locales telles que netstat, tasklist, systeminfo, wmic et ipconfig, ainsi que des applets de commande d’énumération PowerShell Active Directory et des scripts batch utilisés pour l’automatisation.
Bien que les opérations des Camarades bouclés faisaient partie d’une campagne d’espionnage plus large, les chercheurs soulignent que l’acteur de la menace a déployé des efforts considérables pour maintenir son accès à la cible.
Néanmoins, malgré l’utilisation de LOLbins et d’outils open source qui se marient bien avec le trafic régulier, et le mécanisme de persistance intelligent, les mouvements malveillants du groupe ont toujours généré suffisamment de bruit pour être captés par les capteurs EDR/XDR modernes.