Une campagne diffusant le malware AsyncRAT à certaines cibles est active depuis au moins les 11 derniers mois, utilisant des centaines d’échantillons de chargeurs uniques et plus de 100 domaines.

AsyncRAT est un outil d’accès à distance open source (RAT) pour Windows, accessible au public depuis 2019, avec des fonctions d’exécution de commandes à distance, d’enregistrement de frappe, d’exfiltration de données et de suppression de charges utiles supplémentaires.

L’outil a été largement utilisé par les cybercriminels au fil des ans, tel quel ou sous une forme modifiée, pour s’implanter sur la cible, voler des fichiers et des données et déployer des logiciels malveillants supplémentaires.

Igal Lytzki, chercheur en sécurité chez Microsoft, a repéré les attaques livrées via des fils de discussion détournés l’été dernier, mais n’a pas pu récupérer la charge utile finale.

En septembre, l’équipe de chercheurs d’Alien Labs d’AT&T a remarqué « une augmentation des courriels de phishing, ciblant des individus spécifiques dans certaines entreprises » et a commencé à enquêter.

“Les victimes et leurs entreprises sont soigneusement sélectionnées pour élargir l’impact de la campagne. Certaines des cibles identifiées gèrent des infrastructures clés aux États-Unis  » – AT & T Alien Labs
Les attaques commencent par un e-mail malveillant contenant une pièce jointe GIF qui mène à un fichier SVG qui télécharge des scripts JavaScript et PowerShell obscurcis.

Après avoir réussi certaines vérifications anti-sandboxing, le chargeur communique avec le serveur de commande et de contrôle (C2) et détermine si la victime est éligible pour l’infection Asyncrate.

Script de l’étape 3 qui déploie AsyncRAT

Les domaines C2 codés en dur sont hébergés sur Bit Launch, un service qui permet des paiements anonymes en crypto-monnaie, une option utile pour les cybercriminels.

Si le chargeur détermine qu’il s’exécute dans un environnement d’analyse, il déploie des charges utiles leurres, probablement dans le but d’induire en erreur les chercheurs en sécurité et les outils de détection des menaces.

Chaîne d’infection

Le système anti-sandboxing utilisé par le chargeur implique une série de vérifications effectuées via des commandes PowerShell qui récupèrent les détails des informations système et calculent un score qui indique s’il s’exécute dans une machine virtuelle.

AT & T Alien Labs a déterminé que l’auteur de la menace a utilisé 300 échantillons uniques du chargeur au cours des 11 derniers mois, chacun avec des modifications mineures de la structure du code, de l’obscurcissement et des noms et valeurs des variables.

Échantillons uniques de chargeurs vus au fil du temps

Une autre observation des chercheurs est l’utilisation d’un algorithme de génération de domaine (DGA) qui génère de nouveaux domaines C2 tous les dimanches.

Selon les conclusions d’AT&T Alien Labs, les domaines utilisés dans la campagne suivent une structure spécifique: sont dans le TLD « top », utilisent huit caractères alphanumériques aléatoires, sont enregistrés dans Nicenic.net, utilisez l’Afrique du Sud pour le code du pays et sont hébergés sur DigitalOcean.

Logique de génération de domaine

AT & T a été en mesure de décoder la logique derrière le système de génération de domaines, et a même prédit les domaines qui seront générés et attribués au logiciel malveillant tout au long de janvier 2024.

Les chercheurs n’ont pas attribué les attaques à un adversaire spécifique, mais notent que ces « acteurs de la menace apprécient la discrétion », comme l’indique l’effort d’obscurcissement des échantillons.

L’équipe Alien Labs fournit un ensemble d’indicateurs de compromission ainsi que des signatures pour le logiciel d’analyse du réseau Suricata et de détection des menaces que les entreprises peuvent utiliser pour détecter les intrusions associées à cette campagne asynchrone.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *