Une nouvelle campagne malveillante a \u00e9t\u00e9 rep\u00e9r\u00e9e en profitant des journaux d’\u00e9v\u00e9nements Windows pour cacher des morceaux de shellcode pour la premi\u00e8re fois dans la nature.<\/p>\n
“Il permet au cheval de Troie de derni\u00e8re \u00e9tape “sans fichier” d’\u00eatre cach\u00e9 \u00e0 la vue de tous dans le syst\u00e8me de fichiers”, a d\u00e9clar\u00e9 Denis Legezo, chercheur chez Kaspersky. mentionn\u00e9<\/a> dans un article technique publi\u00e9 cette semaine.<\/p>\n On pense que le processus d’infection furtif, non attribu\u00e9 \u00e0 un acteur connu, a commenc\u00e9 en septembre 2021 lorsque les cibles vis\u00e9es ont \u00e9t\u00e9 amen\u00e9es \u00e0 t\u00e9l\u00e9charger des fichiers .RAR compress\u00e9s contenant Cobalt Strike et Pause silencieuse<\/a>.<\/p>\n Les modules logiciels de simulation de l’adversaire sont ensuite utilis\u00e9s comme rampe de lancement pour injecter du code dans les processus syst\u00e8me Windows ou les applications de confiance.<\/p>\n Il convient \u00e9galement de noter l’utilisation d’emballages anti-d\u00e9tection dans le cadre de l’ensemble d’outils, sugg\u00e9rant une tentative de la part des op\u00e9rateurs de voler sous le radar.<\/p>\n L’une des m\u00e9thodes cl\u00e9s consiste \u00e0 conserver le shellcode crypt\u00e9 contenant le logiciel malveillant de la prochaine \u00e9tape sous forme de morceaux de 8 Ko dans les journaux d’\u00e9v\u00e9nements, une technique in\u00e9dite dans les attaques du monde r\u00e9el, qui est ensuite combin\u00e9e et ex\u00e9cut\u00e9e.<\/p>\n La charge utile finale est un ensemble de chevaux de Troie qui utilisent deux m\u00e9canismes de communication diff\u00e9rents : HTTP avec cryptage RC4 et non crypt\u00e9 avec tuyaux nomm\u00e9s<\/a> – qui lui permettent d’ex\u00e9cuter des commandes arbitraires, de t\u00e9l\u00e9charger des fichiers \u00e0 partir d’une URL, d’augmenter les privil\u00e8ges et de prendre des captures d’\u00e9cran.<\/p>\n Un autre indicateur des tactiques d’\u00e9vasion de l’acteur mena\u00e7ant est l’utilisation d’informations glan\u00e9es lors de la reconnaissance initiale pour d\u00e9velopper les \u00e9tapes successives de la cha\u00eene d’attaque, y compris l’utilisation d’un serveur distant qui imite un logiciel l\u00e9gitime utilis\u00e9 par la victime.<\/p>\n “L’acteur derri\u00e8re cette campagne est tout \u00e0 fait capable”, a d\u00e9clar\u00e9 Legezo. “Le code est assez unique, sans aucune similitude avec les logiciels malveillants connus.”<\/p>\n La divulgation intervient alors que les chercheurs de Sysdig d\u00e9montr\u00e9<\/a> un moyen de compromettre les conteneurs en lecture seule avec des logiciels malveillants sans fichier ex\u00e9cut\u00e9s en m\u00e9moire en exploitant une faille critique dans les serveurs Redis.<\/p>\n <\/p>\n<\/div>\n![\"ShellCode](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1651912713_253_Ce-nouveau-logiciel-malveillant-sans-fichier-cache-le-shellcode-dans.jpg\" "\\"ShellCode")
<\/div>\n![\"ShellCode](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1651912714_380_Ce-nouveau-logiciel-malveillant-sans-fichier-cache-le-shellcode-dans.jpg\" "\\"ShellCode")
<\/div>\n