Les chercheurs en cybersécurité ont signalé la découverte d’un nouvel outil d’équipe rouge post-exploitation appelé Éclat dans la nature.
L’unité 42 de Palo Alto Networks a partagé ses conclusions après avoir découvert le programme sur les systèmes de plusieurs clients.
« Il dispose d’un ensemble standard de fonctionnalités que l’on trouve couramment dans les outils de test de pénétration et son développeur l’a créé en utilisant le langage de programmation Rust », explique Dominik Reichel de l’Unité 42. dit« Bien que Splinter ne soit pas aussi avancé que d’autres outils de post-exploitation bien connus comme Cobalt Strike, il présente néanmoins une menace potentielle pour les organisations s’il est mal utilisé. »
Les outils de test de pénétration sont souvent utilisés dans le cadre d’opérations de type « Red Team » pour signaler d’éventuels problèmes de sécurité dans le réseau d’une entreprise. Cependant, ces outils de simulation d’adversaires peuvent également être utilisés à leur avantage par des acteurs malveillants.
L’Unité 42 a déclaré n’avoir détecté aucune activité d’acteur malveillant associée à l’ensemble d’outils Splinter. On ne dispose pas encore d’informations sur l’auteur de l’outil.
Les artefacts découverts par la société de cybersécurité révèlent qu’ils sont « exceptionnellement volumineux », pesant environ 7 Mo, principalement en raison de la présence de 61 caisses Rust à l’intérieur.
Splinter n’est pas différent des autres frameworks de post-exploitation dans le sens où il est livré avec une configuration qui inclut des informations sur le serveur de commande et de contrôle (C2), qui sont analysées afin d’établir un contact avec le serveur à l’aide de HTTPS.
« Les implants Splinter sont contrôlés par un modèle basé sur les tâches, ce qui est courant parmi les frameworks post-exploitation », a noté Reichel. « Il obtient ses tâches à partir du serveur C2 défini par l’attaquant. »
Certaines des fonctions de l’outil incluent l’exécution de commandes Windows, l’exécution de modules via l’injection de processus à distance, le téléchargement et le chargement de fichiers, la collecte d’informations sur les comptes de services cloud et la suppression du système.
« La diversité croissante souligne l’importance de rester à jour en matière de capacités de prévention et de détection, car les criminels sont susceptibles d’adopter toutes les techniques efficaces pour compromettre les organisations », a déclaré Reichel.
Cette révélation intervient alors que Deep Instinct a détaillé deux méthodes d’attaque qui pourraient être exploitées par des acteurs malveillants pour réaliser une injection de code furtive et une escalade de privilèges en exploitant une interface RPC dans Microsoft Office et un malware. calerespectivement.
« Nous avons appliqué un shim malveillant dans un processus sans enregistrer de fichier SDB sur le système », ont déclaré les chercheurs Ron Ben-Yizhak et David Shandalov dit« Nous avons contourné efficacement la détection EDR en écrivant dans un processus enfant et en chargeant la DLL cible à partir du processus enfant suspendu avant qu’un hook EDR puisse être établi. »
En juillet 2024, Check Point a également mis en lumière une nouvelle technique d’injection de processus appelée Thread Name-Calling qui permet d’implanter un shellcode dans un processus en cours d’exécution en abusant de l’API pour les descriptions de threads tout en contournant les produits de protection des points de terminaison.
« À mesure que de nouvelles API sont ajoutées à Windows, de nouvelles idées de techniques d’injection apparaissent », explique Aleksandra « Hasherezade » Doniec, chercheuse en sécurité. dit.
“Thread Name-Calling utilise certaines des API relativement nouvelles. Cependant, il ne peut éviter d’incorporer des composants plus anciens et bien connus, tels que APC injections – API qui doivent toujours être prises en considération comme une menace potentielle. De même, la manipulation des droits d’accès au sein d’un processus distant est une activité suspecte.