Le groupe APT DeathStalker a créé un nouveau malware

0

Le groupe APT (Advanced Persistant Thread) DeathStalker dispose d’une nouvelle arme: une porte dérobée très furtive que les chercheurs ont surnommée PowerPepper, utilisée pour espionner les systèmes ciblés.

DeathStalker propose des services d’espionnage contre rémunération ciblant les secteurs financiers et juridiques, selon des chercheurs de Kaspersky. Ils ont noté que le groupe existe depuis au moins 2012 (repéré pour la première fois en 2018), utilisant le même ensemble de techniques, tactiques et procédures (TTP) relativement basiques et vendant ses services au plus offrant. En Novembre, cependant, le groupe a utilisé un nouveau malware, avec différentes tactiques d’évasion.

«DeathStalker a exploité plusieurs souches de logiciels malveillants et chaînes de livraison au fil des ans, de Janicab et Python, à Powersing, en passant par Evilnum», ont déclaré les chercheurs dans un article. «DeathStalker a également constamment exploité des techniques anti-détection et d’évasion antivirus, ainsi que des chaînes de livraison complexes, qui permettraient de déposer de nombreux fichiers sur les systèmes de fichiers de la cible.»

Ce malware particulier se distingue cependant par l’augmentation du niveau de ses tactiques d’évasion.

Tactiques d’évasion avancé de DeathStalker

La porte dérobée fraîchement découverte pimente les choses sur le front de l’obfuscation en utilisant DNS sur HTTPS comme canal de communication, afin de cacher les communications avec le serveur de commande et contrôle (C2) derrière un trafic d’apparence légitime.

«PowerPepper interroge régulièrement le serveur C2 pour les commandes à exécuter», selon les chercheurs. «Pour ce faire, l’implant envoie des requêtes DNS de type TXT (avec des requêtes DoH ou DNS simples si la dernière échoue) aux serveurs de noms (NS) associés à un nom de domaine C2 malveillant… le serveur répond par une réponse DNS, en intégrant une commande chiffrée. »

PowerPepper DeathStalker

PowerPepper ajoute également la stéganographie à la liste des techniques d’évasion, la stéganographie consiste à cacher des données dans des images. Dans ce cas, le code malveillant est intégré dans ce qui semble être des images régulières de fougères ou de poivrons (d’où le nom), et il est ensuite extrait par un script de chargement. Le chargeur est déguisé en outil de vérification du fournisseur de services d’identité GlobalSign.

Il utilise une obfuscation personnalisée, avec des parties de ses scripts de livraison malveillants cachés dans des objets embarqués de Word, ont déclaré les chercheurs: «Les communications avec l’implant et les serveurs sont chiffrées et, grâce à l’utilisation de scripts signés et fiables, les logiciels antivirus ne reconnaisse pas nécessairement l’implant comme étant malveillant au démarrage. »

D’autres tactiques d’évasion, telles que la détection des mouvements de souris, le filtrage des adresses MAC des clients, la gestion des applications Excel et l’inventaire des produits antivirus complètent son sac d’astuces.

L’espionnage d’entreprises

PowerPepper a été cultivé pour exécuter des commandes shell à distance envoyées par les opérateurs de DeathStalker, qui visent à voler des informations commerciales sensibles.

PowerPepper DeathStalker

Les commandes couvrent la gamme des logiciels espions, y compris celles permettant de collecter les informations sur l’utilisateur et les fichiers de l’ordinateur, de parcourir les partages de fichiers réseau, de télécharger des binaires supplémentaires ou de copier du contenu vers des emplacements distants.

PowerPepper se propage généralement via des e-mails d’hameçonnage ciblé avec les fichiers malveillants livrés via le corps de l’e-mail ou dans un lien malveillant, la technique habituelle de DeathStalker. Kaspersky a observé des leurres liés aux événements internationaux, aux réglementations sur les émissions de carbone et à la pandémie, avec des e-mails frappant principalement l’Europe, mais aussi l’Amérique et l’Asie. Jusqu’à présent, les principales cibles de PowerPepper sont les petites et moyennes entreprises – organisations qui ont tendance à avoir des programmes de sécurité moins robustes.

«PowerPepper prouve une fois de plus que DeathStalker est un acteur de menace créatif: un acteur capable de développer constamment de nouveaux malware et de nouvelles chaînes d’outils en peu de temps», a déclaré Pierre Delcher, expert en sécurité chez Kaspersky, dans un communiqué. «PowerPepper est déjà la quatrième souche de malware affiliée à l’acteur, et nous avons découvert une cinquième souche potentielle. Même s’ils ne sont pas particulièrement sophistiqués, les logiciels malveillants de DeathStalker se sont révélés très efficaces. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire