Un malware polyglotte auparavant non documenté est déployé dans des attaques contre l’aviation, les communications par satellite et les organisations de transport critiques aux Émirats arabes Unis.
Le logiciel malveillant fournit une porte dérobée appelée Sosano, qui établit la persistance sur les appareils infectés et permet aux attaquants d’exécuter des commandes à distance.
L’activité a été découverte par Proofpoint en octobre 2024, qui indique que les attaques sont liées à un acteur de la menace nommé ‘UNK_CraftyCamel. »Bien que la campagne soit encore petite, les chercheurs rapportent qu’elle est encore avancée et dangereuse pour les entreprises ciblées.
Les chercheurs de Proofpoint ont noté que les attaques présentent des similitudes avec les opérations des groupes alignés sur l’Iran TA451 et TA455. Cependant, la dernière campagne est distincte et met fortement l’accent sur le cyberespionnage.
Menace polyglotte
Les logiciels malveillants polyglottes sont constitués de fichiers spécialement conçus qui contiennent plusieurs formats de fichiers, ce qui leur permet d’être interprétés différemment par diverses applications.
Par exemple, un seul fichier peut être structuré à la fois comme un MSI valide (Windows installer) et un fichier JAR (archive Java), ce qui fait que Windows le reconnaît comme un MSI tandis que le moteur d’exécution Java l’interprète comme un fichier JAR.
Cette technique permet aux attaquants de fournir furtivement des charges utiles malveillantes en contournant les logiciels de sécurité, qui analysent généralement les fichiers en fonction d’un seul format.
Dans la nouvelle campagne observée par Proofpoint, l’attaque commence par un e-mail de spear-phishing très ciblé envoyé par une entreprise d’électronique indienne compromise (INDIC Electronics).
Ces courriels contiennent des URL malveillantes qui dirigent les victimes vers un domaine usurpé (indicelectronics[.] net), où ils sont invités à télécharger une archive ZIP (« OrderList.zip »).
L’archive contient un fichier LNK (raccourci Windows) déguisé en XLS, ainsi que deux fichiers PDF (« about-indic.pdf » et » electronica-2024.pdf »). Les deux PDF sont des fichiers polyglottes contenant une structure de fichier PDF légitime mais une structure de fichier malveillante supplémentaire.
Le premier PDF contient du code HTA (application HTML), tandis que l’autre inclut une archive ZIP cachée.
Le principal avantage de l’utilisation de polyglots est l’évasion, car la plupart des outils de sécurité inspecteront le premier format de fichier (PDF), qui est un document bénin, et ignoreront complètement la partie cachée malveillante (charges utiles HTA/ZIP).
Lors de l’exécution du fichier LNK, cmd.exe lance le protocole mshta.exe, qui exécute le script HTA caché à l’intérieur du premier PDF, déclenchant le lancement du deuxième fichier PDF.
L’archive cachée à l’intérieur du deuxième PDF écrit un fichier URL dans le Registre Windows pour la persistance, puis exécute un fichier JPEG codé XOR qui décode une charge utile DLL (« yourdllfinal.dll »), qui est la porte dérobée de Sosano.
Proofpoint affirme que Sosano est une charge utile relativement simple basée sur Go avec des fonctionnalités limitées qui a probablement été gonflée à 12 Mo pour masquer les petites quantités de code malveillant qu’elle utilise.
Une fois activé, Sensor établit une connexion avec son serveur de commande et de contrôle (C2) sur « bokhoreshonline[.] com » et attend les commandes, y compris les opérations sur les fichiers, l’exécution des commandes shell, ainsi que la récupération et le lancement de charges utiles supplémentaires.
La défense contre les menaces polyglottes nécessite une approche à multiples facettes combinant l’analyse des e-mails, la formation des utilisateurs et un logiciel de sécurité capable de détecter plusieurs formats de fichiers dans un seul fichier.
S’il n’est pas nécessaire dans les opérations quotidiennes, il est prudent de bloquer les types de fichiers dangereux tels que les liens, les HTA et les ZIPS sur la passerelle de messagerie.