Le malware BendyBear est associé à un groupe Chinois

Des chercheurs de Unit 42 ont partagé aujourd’hui des informations sur un nouveau malware polymorphe et “hautement sophistiqué” baptisé BendyBear, lié à un groupe de piratage ayant des liens avec le gouvernement Chinois.

BendyBear est également “l’un des échantillons de shellcode les plus sophistiqués, les mieux conçus et les plus difficiles à détecter employés par une menace persistante avancée (APT)”, selon un rapport de Unit 42 publié récemment.

Bien que découvert l’année dernière, en Août 2020, il n’y a aucune information sur le vecteur d’infection utilisé pour le déployer sur des systèmes ciblés ou des victimes potentielles.

Le malware a des caractéristiques et un comportement qui ressemblent fortement à ceux de la famille de logiciels malveillants WaterBear, actifs depuis au moins début 2009.

WaterBear est connecté à BlackTech, un groupe de cyber-espionnage lié au gouvernement chinois.

Ce groupe de hackers sponsorisé par un Etat se concentre sur le vol d’informations et est également soupçonné d’avoir coordonné des attaques récentes visant plusieurs organisations gouvernementales d’Asie de l’Est.

Les fonctionnalités et capacités de BendyBear

La seule fonction de ce shellcode est d’être utilisée pour télécharger d’autres charges utiles malveillantes à partir de serveurs de commande et de contrôle (C2) contrôlés par l’attaquant.

Les cyber-espions qui utilisent BendyBear dans leurs opérations le chargeront sur des appareils compromis immédiatement après avoir eu accès à la machine après l’exploitation.

«Avec plus de 10 000 octets, BendyBear est nettement plus grand que la plupart des autres, et utilise sa taille pour implémenter des fonctionnalités avancées et des techniques anti-analyse, telles que le cryptage RC4 modifié, la vérification du bloc de signature et le code polymorphe», a déclaré Unit 42.

bendybear

Parmi la longue liste de fonctionnalités et de capacités de BendyBear, voici ce que Unit 42 a divulgué:

  • Transmet les charges utiles en blocs modifiés cryptés RC4. Cela renforce le cryptage de la communication réseau, car une seule clé RC4 ne décryptera pas la totalité de la charge utile.
  • Tente de rester caché face à l’analyse de cybersécurité en vérifiant explicitement dans son environnement des signes de débogage.
  • Utilise la clé de registre Windows existante qui est activée par défaut dans Windows 10 pour stocker les données de configuration.
  • Efface le cache DNS de l’hôte chaque fois qu’il tente de se connecter à son serveur C2, ce qui oblige l’hôte à résoudre à chaque fois l’adresse IP actuelle du domaine C2 malveillant.
  • Génère des clés de session uniques pour chaque connexion au serveur C2.
  • Obscurcit son protocole de connexion en se connectant au serveur C2 via un port commun (443), se fondant ainsi dans le trafic réseau SSL normal.
  • Utilise du code polymorphe, modifiant son temps d’exécution lors de l’exécution du code pour contrecarrer l’analyse de la mémoire et éviter de se faire reconnaitre par sa signature.
  • Crypte ou décrypte les blocs fonctionnels (blocs de code) pendant l’exécution, si nécessaire, pour échapper à la détection.
  • Utilise le code indépendant de la position (PIC) pour éliminer les outils d’analyse statique.

En raison des fonctionnalités telles que la vérification du bloc de signature et l’utilisation de techniques anti-analyse, il est assez évident que les développeurs de BendyBear essayent d’en faire un malware furtif qui échappe à la détection.

De plus, ses créateurs font preuve d’un “haut niveau de sophistication technique” basé sur l’utilisation de manipulations d’octets et de routines cryptographiques personnalisées.

Plus de détails techniques sur le shellcode BendyBear, les indicateurs de compromis et la preuve de concept du shellcode sont disponibles dans le rapport de Unit 42.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires