DePriMon Downloader utilise de nouveaux moyens pour infecter votre PC avec les logiciels malveillants ColoredLambert. – Bien choisir son serveur d impression
Un téléchargeur de logiciels malveillants a été détecté à l'aide de méthodes innovantes "Moniteur de port" qui n'avaient pas encore été détectées dans les campagnes actives.
Surnommé DePriMon, le programme de téléchargement malveillant est utilisé pour déployer le logiciel malveillant utilisé par Lambert, également connu sous le nom de groupe de la menace persistante avancée Longhorn (APT), spécialisé dans les attaques contre des entreprises européennes et du Moyen-Orient.
Kaspersky estime que Lambert est actif depuis au moins 2008, alors que Symantec arrondit l'année au plus proche de 2011.
Les acteurs de la menace utilisent diverses vulnérabilités, allant des bugs «jour zéro», y compris Craw-2014-4148, à l’exploitation de Windows et aux logiciels malveillants de porte dérobée, pour s’infiltrer dans les secteurs gouvernemental, financier, des télécommunications, de l’énergie, de l’aviation et de l’éducation. être parrainé par l'État.
Voir également: Le nouveau ransomware en tant que service Buran tente d'attirer les criminels avec des licences à rabais
En 2017, Symantec a déclaré qu'au moins 40 cibles dans 16 pays avaient été compromises par les attaquants.
L'APT utilise divers logiciels malveillants, affectés de différentes couleurs par les chercheurs en cybersécurité, pour effectuer des reconnaissances, voler des données et maintenir la persistance.
Il s'agit notamment de Black Lampert, un implant actif utilisé pour se connecter à un serveur de commande et contrôle (C2) pour obtenir des instructions; White Lampert, une porte dérobée passive basée sur le réseau; Blue Lampert, une charge utile de logiciels malveillants de deuxième étape; Green Lampert, une version plus ancienne de la charge utile susmentionnée; et Pink Lambert, une boîte à outils comprenant un module de compromis USB et un orchestrateur.
Le vecteur d'attaque initial de Lampert est inconnu. Cependant, il convient de noter la découverte du malware en même temps que le nouveau téléchargement DePriMon.
CNET: Facebook: la "surveillance" de Google menace les droits humains, selon Amnesty International
ESET a publié jeudi les résultats d’une enquête sur le téléchargeur. Selon les chercheurs en cybersécurité, le code utilise "de nombreuses techniques non traditionnelles", notamment l'enregistrement d'un nouveau moniteur de port local pour assurer la persistance.
Le moniteur de port porte le nom de "Moniteur d'impression par défaut de Windows", d'où le nom du téléchargeur. Il a été détecté dans une entreprise privée en Europe, aux côtés de "dizaines d'ordinateurs" au Moyen-Orient, également compromis par les programmes malveillants Lambert.
DePriMon est téléchargé dans la mémoire et exécuté en tant que DLL à l'aide de techniques de DLL de réflexion. Comme le téléchargeur n'est jamais stocké sur le disque, cela peut réduire le risque d'être détecté.
Le moniteur de port est enregistré avec une clé et une valeur, ce qui nécessite des droits d'administrateur. Pour cela, la DLL sera chargée par spoolsv.exe au démarrage du système.
"Nous pensons que DePriMon est le premier exemple de malware utilisant cette technique jamais décrite publiquement", déclare ESET.
Un chemin est ensuite créé pour le téléchargement et l’exécution des charges utiles principales des programmes malveillants. Ce chemin est crypté à l'aide du système SSL / TLS et Secure Channel de Microsoft, initialisé avec un socket Windows et les sessions SSPI suivantes. DePriMon peut également utiliser Schannel, en fonction de la configuration système de la victime.
DePriMon est alors capable de communiquer avec son C2 via TLS. Les commandes et les données de configuration sont cryptées avec AES-256.
TechRepublic: 82% des dirigeants de petites et moyennes entreprises s'attendent à ce que leurs employés mettent les appareils professionnels en péril avec les achats effectués pendant les fêtes
"Grâce à sa conception sécurisée, la configuration n'est pas laissée en mémoire sous une forme non chiffrée", expliquent les chercheurs. "Chaque fois que le téléchargeur doit utiliser un élément du fichier de configuration, il déchiffre le fichier de configuration, récupère le membre et le chiffre à nouveau. Cette conception protège la fonction principale du logiciel malveillant – la communication C2 – contre l'analyse de la mémoire."
"DePriMon est un programme de téléchargement inhabituellement avancé dont les développeurs ont déployé des efforts supplémentaires pour configurer l’architecture et concevoir les composants critiques", a ajouté ESET. "DePriMon est un outil puissant, flexible et persistant conçu pour télécharger une charge utile et l'exécuter, ainsi que pour collecter des informations de base sur le système et ses utilisateurs."
Couverture précédente et connexe
Avoir un pourboire? Entrez en contact en toute sécurité via WhatsApp | Signal à +447713 025 499 ou plus à Keybase: charlie0
Commentaires
Laisser un commentaire