Un groupe de piratage suivi sous le nom de « UAC-0184 » a été observé en train d’utiliser des fichiers d’images stéganographiques pour livrer le cheval de Troie d’accès à distance Remcos (RAT) sur les systèmes d’une entité ukrainienne opérant en Finlande.
UAC-0184 sont des acteurs de la menace que Trend Micro a vu mener des attaques fin 2023 contre les forces armées ukrainiennes, utilisant également le même logiciel malveillant.
La dernière activité du groupe de menaces, qui a débuté début janvier 2024 et a été repérée par les analystes de Morphisec, montre qu’ils se sont étendus pour cibler des organisations en dehors de l’Ukraine qui sont affiliées à leur cible stratégique.
Morphisec a choisi de ne pas fournir d’informations techniques ou de détails spécifiques sur la victime pour des raisons de confidentialité, mais a tout de même partagé certaines données sur les méthodes d’attaque utilisées.
Utilisation d’images pour charger des logiciels malveillants
La stéganographie est une tactique bien documentée mais rarement vue qui consiste à encoder du code malveillant dans les données pixel des images pour échapper à la détection par des solutions utilisant des règles basées sur des signatures.
Typiquement, les petits morceaux de charge utile dans les pixels de l’image n’entraînent pas une altération de l’apparence de l’image, mais dans le cas vu par Morphisec, l’image semble visiblement déformée.
Cette distorsion, cependant, ne serait dommageable pour les attaquants qu’en cas d’inspection manuelle, et en supposant qu’il n’y en ait pas, cela fonctionne toujours pour échapper à la détection des produits de sécurité automatisés.
La chaîne d’attaques observée par Morphisec commence par un e-mail de phishing soigneusement conçu, censé provenir de la 3e Brigade d’assaut distincte d’Ukraine ou des Forces de défense israéliennes.
Les destinataires trompés qui ouvrent la pièce jointe de raccourci déclenchent une chaîne d’infection qui lance un exécutable (DockerSystem_Gzv3.exe), qui à son tour active un chargeur de logiciels malveillants modulaire nommé ‘IDAT.’
« Distingué par son architecture modulaire, IDAT utilise des fonctionnalités uniques telles que l’injection de code et les modules d’exécution, ce qui le distingue des chargeurs conventionnels », décrit Morphisec.
« Il utilise des techniques sophistiquées telles que le chargement dynamique des fonctions de l’API Windows, les tests de connectivité HTTP, les listes de blocage de processus et les appels système pour échapper à la détection. »
Pour rester furtifs, les appels d’API ne sont pas écrits dans le code sous forme de texte brut, mais sont résolus au moment de l’exécution à l’aide d’une clé de déchiffrement qui fait partie de la chaîne d’attaque.
IDAT extrait la charge utile codée qui est intégrée dans le fichier image PNG malveillant, puis la déchiffre et l’exécute en mémoire, un processus qui implique plusieurs étapes et des modules supplémentaires qui sont injectés dans des processus légitimes (Explorer.fichiers exe) et DLL (PLA.dll).
La dernière étape implique le décryptage et l’exécution du Remcos RAT, un malware de base que les pirates utilisent comme porte dérobée sur les systèmes compromis, permettant le vol furtif de données et la surveillance de l’activité des victimes.
Morphisec dit qu’IL fournit également des logiciels malveillants comme Dana à la fois, Systems et RedLine Stealer, mais on ne sait pas si ces familles ont été vues dans les ordinateurs basés en Finlande ou dans différentes attaques.
.