Les chercheurs en cybersécurité ont découvert un nouveau rootkit signé par Microsoft qui est conçu pour communiquer avec une infrastructure d’attaque contrôlée par des acteurs.
Trend Micro a attribué le cluster d’activités au même acteur qui avait été précédemment identifié comme étant à l’origine du rootkit FiveSys, qui a été révélé en octobre 2021.
« Cet acteur malveillant est originaire de Chine et ses principales victimes sont le secteur du jeu en Chine », ont déclaré Mahmoud Zohdy, Sherif Magdy et Mohamed Fahmy de Trend Micro. a dit. Leur logiciel malveillant semble être passé par les laboratoires de qualité matérielle de Windows (WHQL) processus d’obtention d’une signature valide.
Plusieurs variantes du rootkit couvrant huit clusters différents ont été découvertes, avec 75 pilotes de ce type signés à l’aide du programme WHQL de Microsoft en 2022 et 2023.
L’analyse par Trend Micro de certains des échantillons a révélé la présence de messages de débogage dans le code source, indiquant que l’opération est toujours en phase de développement et de test.
Dans les étapes suivantes, le pilote de première étape désactive le contrôle de compte d’utilisateur (UAC) et Mode bureau sécurisé en éditant le registre et initialise Winsock Kernel (WSK) objets pour initier la communication réseau avec le serveur distant.
Il interroge en outre périodiquement le serveur pour récupérer plus de charges utiles et les charger directement dans la mémoire après avoir décodé et déchiffré les données reçues, fonctionnant efficacement comme un chargeur de pilote de noyau furtif qui peut contourner les détections.
« Le binaire principal agit comme un chargeur universel qui permet aux attaquants de charger directement un module de noyau non signé de deuxième étape », ont expliqué les chercheurs. « Chaque plug-in de deuxième étape est personnalisé en fonction de la machine victime sur laquelle il est déployé, certains contenant même un pilote compilé personnalisé pour chaque machine. Chaque plug-in a un ensemble spécifique d’actions à effectuer à partir de l’espace noyau. »
Les plug-ins, pour leur part, sont dotés de différentes capacités pour atteindre la persistance, désarmer Microsoft Defender Antivirus, déployer un proxy sur la machine et rediriger le trafic de navigation Web vers un serveur proxy distant.
Tout comme FiveSys, les nouvelles détections de rootkits ont été confinées exclusivement à la Chine. L’un des points d’entrée suspectés de ces infections serait un jeu chinois contenant un cheval de Troie, reflétant la découverte par Cisco Talos d’un pilote malveillant appelé RedDriver.
Les résultats concordent avec d’autres rapports de Cisco Talos et Sophos sur l’utilisation de pilotes en mode noyau malveillants signés par Microsoft pour les activités de post-exploitation, les acteurs de la menace parlant chinois utilisant des logiciels open source populaires au sein de la communauté de développement de triche de jeux vidéo pour contourner restrictions imposées par le géant de la technologie.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Pas moins de 133 pilotes malveillants signés avec des certificats numériques légitimes ont été découverts, dont 81 sont capables de mettre fin aux solutions antivirus sur les systèmes des victimes. Les pilotes restants sont des rootkits conçus pour surveiller secrètement les données sensibles envoyées sur Internet.
Le fait que ces pilotes soient signés par le programme de compatibilité matérielle de Windows (WHCP) signifie que les attaquants peuvent les installer sur des systèmes piratés sans déclencher d’alerte et procéder à des activités malveillantes pratiquement sans entrave.
« Parce que les pilotes communiquent souvent avec le ‘cœur’ du système d’exploitation et se chargent avant les logiciels de sécurité, lorsqu’ils sont abusés, ils peuvent être particulièrement efficaces pour désactiver les protections de sécurité, en particulier lorsqu’ils sont signés par une autorité de confiance », a déclaré Christopher Budd, directeur des menaces. recherche chez Sophos X-Ops, a déclaré.
Microsoft, en réponse aux révélations, a déclaré avoir mis en place des protections de blocage et suspendu les comptes des vendeurs des partenaires impliqués dans l’incident afin de protéger les utilisateurs contre les menaces futures.
Au contraire, le développement brosse le tableau d’un vecteur d’attaque en évolution qui est activement utilisé par des adversaires pour obtenir un accès privilégié aux machines Windows et une détection de contournement par un logiciel de sécurité.
« Les acteurs malveillants continueront à utiliser des rootkits pour cacher le code malveillant des outils de sécurité, altérer les défenses et voler sous le radar pendant de longues périodes », ont déclaré les chercheurs. « Ces rootkits seront largement utilisés par des groupes sophistiqués qui ont à la fois les compétences pour désosser les composants système de bas niveau et les ressources nécessaires pour développer de tels outils. »