Des chercheurs en cybersécurité ont mis en lumière le serveur de commande et de contrôle (C2) d’une famille de logiciels malveillants connue appelée SystèmeBC.
« SystemBC peut être acheté sur des marchés clandestins et est fourni dans une archive contenant l’implant, un serveur de commande et de contrôle (C2) et un portail d’administration Web écrit en PHP », Kroll dit dans une analyse publiée la semaine dernière.
Le fournisseur de solutions de conseil en matière de risque et de conseil financier a déclaré avoir constaté une augmentation de l’utilisation de logiciels malveillants au cours des deuxième et troisième trimestres 2023.
SystemBC, observé pour la première fois dans la nature en 2018, permet aux acteurs malveillants de contrôler à distance un hôte compromis et de fournir des charges utiles supplémentaires, notamment des chevaux de Troie, Cobalt Strike et des ransomwares. Il prend également en charge le lancement de modules auxiliaires à la volée pour étendre ses fonctionnalités de base.
Un aspect remarquable du malware concerne son utilisation de proxys SOCKS5 pour masquer le trafic réseau vers et depuis l’infrastructure C2, agissant comme un mécanisme d’accès persistant pour la post-exploitation.
Les clients qui finissent par acheter SystemBC reçoivent un package d’installation comprenant l’exécutable de l’implant, les binaires Windows et Linux pour le serveur C2 et un fichier PHP pour le rendu de l’interface du panneau C2, ainsi que des instructions en anglais et en russe détaillant les étapes et les commandes. courir.
Les exécutables du serveur C2 – « server.exe » pour Windows et « server.out » pour Linux – sont conçus pour ouvrir pas moins de trois ports TCP pour faciliter le trafic C2 et la communication inter-processus (IPC) entre lui-même et le Interface de panneau basée sur PHP (généralement le port 4000) et une pour chaque implant actif (alias bot).
Le composant serveur utilise également trois autres fichiers pour enregistrer des informations concernant l’interaction de l’implant en tant que proxy et chargeur, ainsi que des détails relatifs aux victimes.
Le panneau basé sur PHP, en revanche, est de nature minimaliste et affiche une liste des implants actifs à tout moment. De plus, il agit comme un canal pour exécuter du shellcode et des fichiers arbitraires sur une machine victime.
« La fonctionnalité du shellcode n’est pas seulement limitée à un shell inversé, mais possède également des capacités à distance complètes qui peuvent être injectées dans l’implant au moment de l’exécution, tout en étant moins évidente que la génération de cmd.exe pour un shell inversé », ont déclaré les chercheurs de Kroll.
Ce développement intervient alors que la société a également partagé une analyse d’une version mise à jour de DarkGate (version 5.2.3), un cheval de Troie d’accès à distance (RAT) qui permet aux attaquants de compromettre entièrement les systèmes des victimes, de siphonner les données sensibles et de distribuer davantage de logiciels malveillants.
« La version de DarkGate qui a été analysée mélange l’alphabet Base64 utilisé lors de l’initialisation du programme », a déclaré le chercheur en sécurité Sean Straw. dit. « DarkGate échange le dernier caractère avec un caractère aléatoire qui le précède, en se déplaçant de l’arrière vers l’avant dans l’alphabet. »
Kroll a déclaré avoir identifié une faiblesse dans cet alphabet Base64 personnalisé qui rend trivial le décodage de la configuration sur disque et des sorties de keylogging, qui sont codées à l’aide de l’alphabet et stockées dans un dossier d’exfiltration sur le système.
« Cette analyse permet aux analystes légistes de décoder les fichiers de configuration et de keylogger sans avoir besoin de déterminer au préalable l’ID du matériel », a déclaré Straw. « Les fichiers de sortie du keylogger contiennent des frappes volées par DarkGate, qui peuvent inclure des mots de passe saisis, des e-mails rédigés et d’autres informations sensibles. »