L’Ukraine met en garde contre une vague d’attaques visant des organisations étatiques utilisant « Merlin », un cadre de post-exploitation et de commandement et de contrôle open source.

Merlin est une boîte à outils de post-exploitation multiplateforme basée sur Go disponible gratuitement via GitHub, offrant une documentation complète pour les professionnels de la sécurité à utiliser dans les exercices de l’équipe rouge.

Il offre un large éventail de fonctionnalités, permettant aux équipes rouges (et aux attaquants) de prendre pied sur un réseau compromis.

  • Prise en charge de HTTP/1.1 sur TLS et HTTP/3 (HTTP/2 sur QUIC) pour la communication C2.
  • PBES2 (RFC 2898) et AES Key Wrap (RFC 3394) pour le chiffrement du trafic des agents.
  • Échange de clés authentifié par mot de passe asymétrique OPAQUE (PAKE) et JWT crypté pour une authentification sécurisée des utilisateurs.
  • Prise en charge des techniques d’exécution de shellcode CreateThread, CreateRemoteThread, RtlCreateUserThread et QueueUserAPC.
  • Fronting de domaine pour contourner le filtrage du réseau.
  • Prise en charge intégrée de Donut, sRDI et SharpGen.
  • Modification dynamique du hachage JA3 et du rembourrage des messages de trafic C2 de l’agent pour échapper à la détection.

Cependant, comme nous l’avons vu avec Sliver, Merlin est maintenant abusé par des acteurs de la menace qui l’utilisent pour alimenter leurs propres attaques et se propager latéralement via des réseaux compromis.

Le CERT-UA rapporte qu’il l’a détecté dans des attaques qui ont commencé par l’arrivée d’un e-mail de phishing se faisant passer pour l’agence (adresse de l’expéditeur : [email protected]) et aurait fourni aux destinataires des instructions sur la manière de renforcer leur suite MS Office.

Exemple d’e-mail malveillant

Les e-mails contiennent une pièce jointe CHM qui, si elle est ouverte, exécute du code JavaScript qui exécute à son tour un script PowerShell qui récupère, décrypte et décompresse une archive GZIP contenant l’exécutable « ctlhost.exe ».

Si le destinataire exécute cet exécutable, son ordinateur est infecté par MerlinAgent, ce qui donne aux acteurs de la menace l’accès à leur machine, à leurs données et à un pied pour se déplacer latéralement dans le réseau.

Exécutable qui charge l’agent Merlin sur le système

Le CERT-UA a attribué à cette activité malveillante l’identifiant unique UAC-0154, et les premières attaques ont été enregistrées le 10 juillet 2023, lorsque les acteurs de la menace ont utilisé un appât « UAV training » dans leurs e-mails.

L’utilisation d’outils open source comme Merlin pour attaquer des agences gouvernementales ou d’autres organisations importantes rend l’attribution plus difficile, laissant moins de traces distinctes pouvant être liées à des acteurs de menace spécifiques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *