Un acteur de la menace suivi comme Déployant Hemlock a infecté les systèmes cibles avec jusqu’à dix logiciels malveillants en même temps dans des campagnes qui distribuent des centaines de milliers de fichiers malveillants.

Les chercheurs en sécurité décrivent la méthode d’infection comme une « bombe à fragmentation de logiciels malveillants » qui permet à l’auteur de la menace d’utiliser un échantillon de logiciel malveillant qui en propage d’autres sur la machine compromise.

Les types de logiciels malveillants livrés de cette manière incluent les voleurs d’informations, les botnets et les portes dérobées.

L’opération a été découverte par les KrakenLabs d’Outpost24, l’équipe de renseignement sur les cybermenaces de la société de sécurité, qui affirment que l’activité date d’au moins février 2023 et utilise une méthode de distribution distincte.

KrakenLabs a vu plus de 50 000 fichiers de « bombes à sous-munitions » qui partageaient des caractéristiques uniques les reliant au groupe de pruche déployante.

Présentation de l’attaque de la pruche déployée
Les attaques commencent par l’exécution d’un fichier nommé ‘WEXTRACT.EXE ‘ qui arrive sur les appareils cibles via des e-mails malveillants ou des chargeurs de logiciels malveillants auxquels Unfurling Hemlock a accès en contractant leurs opérateurs.

L’exécutable malveillant contient des fichiers d’armoire compressés imbriqués, chaque niveau contenant un échantillon de malware et un autre fichier compressé.

Chaque étape de déballage dépose une variante de malware sur la machine de la victime. Lorsque l’étape finale est atteinte, les fichiers extraits sont exécutés dans l’ordre inverse, ce qui signifie que le malware le plus récemment extrait est exécuté en premier.

Ordre d’exécution des logiciels malveillants

Kraken Labs a connu entre quatre et sept étapes, ce qui signifie que le nombre d’étapes et la quantité de logiciels malveillants livrés lors du déploiement d’attaques de pruche varient.

À partir des échantillons analysés, les chercheurs ont déduit que plus de la moitié de toutes les attaques de pruche déployées ciblaient des systèmes aux États-Unis, tandis qu’une activité relativement importante était également observée en Allemagne, en Russie, en Turquie, en Inde et au Canada.

Une « bombe à fragmentation »malveillante
L’abandon de plusieurs charges utiles sur un système compromis offre aux acteurs de la menace des niveaux élevés de redondance, offrant plus de possibilités de persistance et de monétisation.

Malgré l’inconvénient de risquer la détection, de nombreux acteurs de la menace suivent cette stratégie agressive, s’attendant à ce qu’au moins certaines de leurs charges utiles survivent au processus de nettoyage.

Dans le cas du déploiement de Hemlock, les analystes de Kraken Labs ont observé les logiciels malveillants, chargeurs et utilitaires suivants déposés sur les machines des victimes:

  • Redline: Un malware de voleur populaire qui extrait des informations sensibles telles que des informations d’identification, des données financières et des portefeuilles de crypto-monnaie. Il peut voler des données à partir de navigateurs Web, de clients FTP et de clients de messagerie.
  • RisePro: Un voleur relativement nouveau gagne en popularité, axé sur le vol d’informations d’identification et l’exfiltration de données. Il cible les informations du navigateur, les portefeuilles de crypto-monnaie et d’autres données personnelles.
  • Mystic Stealer: Fonctionne sur le modèle MaaS (Malware-as-a-Service), capable de voler des données à partir de nombreux navigateurs et extensions, portefeuilles de crypto-monnaie et applications comme Steam et Telegram.
  • Amadey: Un chargeur sur mesure utilisé pour télécharger et exécuter des logiciels malveillants supplémentaires. Il est sur le marché depuis 2018 et est utilisé dans diverses campagnes de distribution de divers logiciels malveillants.
  • SmokeLoader: Un chargeur polyvalent et une porte dérobée connu pour son utilisation de longue date dans la cybercriminalité. Il est souvent utilisé pour télécharger d’autres types de logiciels malveillants et peut masquer son trafic C2 en imitant les demandes adressées à des sites légitimes.
  • Désactivateur de protection: Un utilitaire conçu pour désactiver Windows Defender et d’autres fonctionnalités de sécurité sur le système de la victime, en modifiant les clés de registre et les paramètres système pour réduire les défenses du système.
  • Enigma Packer: Un outil d’obscurcissement utilisé pour emballer et masquer les charges utiles réelles des logiciels malveillants, ce qui rend la détection et l’analyse des logiciels malveillants plus difficiles pour les solutions de sécurité.
  • Guérisseur.exe: Un autre utilitaire axé sur la désactivation des mesures de sécurité, ciblant et désactivant spécifiquement Windows Defender.
  • Vérificateur de performances: Un utilitaire pour vérifier et enregistrer les performances de l’exécution du logiciel malveillant, en recueillant des informations statistiques sur le système de la victime et le succès du processus d’infection.
  • Autre: Utilitaires abusant des outils Windows natifs tels que ‘ wmiadap.exe et wmiprvse.exe ‘ pour recueillir des informations système.

Le rapport de Kraken Labs ne se penche pas sur les voies de monétisation ou l’activité post-compromission, mais on peut supposer que Unfurling Hemlock vend des « journaux » de voleurs d’informations et un accès initial à d’autres acteurs de la menace.

Sur la base des preuves découvertes au cours de l’enquête, les chercheurs pensent avec « un degré raisonnable de certitude » que le déploiement de la pruche est basé dans un pays d’Europe de l’Est.

Deux indications de cette origine sont la présence de la langue russe dans certains des échantillons et l’utilisation du Système autonome 203727, qui est lié au service d’hébergement populaire auprès des gangs cybercriminels de la région.

Outpost24 recommande aux utilisateurs d’analyser les fichiers téléchargés à l’aide d’outils antivirus à jour avant de les exécuter, car tous les logiciels malveillants déposés dans cette campagne sont bien documentés et ont des signatures connues.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *