Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.

Le voleur PXA évolué enveloppe Purerat dans l’obscuscation multicouche

Lucas Morel

La campagne Stealer est devenue une chaîne de livraison en plusieurs étapes qui déploie finalement le Purerat modulaire riche en fonctionnalités.

Les chercheurs en sécurité ont découvert un groupe de menaces vietnamiennes évoluant de leur campagne de voleurs PXA personnalisée en une chaîne de livraison multicouche qui laisse tomber Purerat, un cheval de Troie à un accès à distance riche en fonctionnalités.

Selon une analyse de Huntress, le groupe exploite dix étapes de charge utile distinctes, notamment des leurres de phishing, des chargeurs obscurcis, de la persistance du registre, des correctifs AMSI et ETW et des commandes et contrôle de TLS (C2).

« La façon dont ils enchaînent les chargeurs, mélangés dans différents schémas de cryptage et pivotés dans Purerat se sent intentionnels – il s’agit d’acheter du temps », a déclaré Anna Pham, analyste senior de Hunt et réponse chez Huntress et contributeur sur le rapport. « Ce n’est pas un logiciel malveillant smash and-grab. C’est un signe que le groupe veut rester à la puissance dans les environnements. »

PXA Stealer a existé en tant qu’infostaler à base de python, lié à l’alias télégramme @lonenone, et précédemment utilisé pour la récolte des informations d’identification et des données de navigateur.

Des logiciels malveillants de marchandises enveloppés dans une chaîne complexe

Purerat lui-même n’est pas nouveau – c’est un rat de marchandise commercialisé en tant que boîte à outils d’administration à distance avec des fonctionnalités telles que l’accès à bureau caché (HVNC / HRDP), l’espionnage de microphone et de webcam, la gestion du registre et même la surveillance du cryptowallet. Mais ce qui distingue la campagne PXA, c’est la séquence de livraison élaborée qui l’entourait.

« C’est définitivement une étape dans la maturité », a noté Pham, pointant vers l’utilisation du correctif AMSI et du certificat TLS épingle pour l’évasion. «Cela ne les rend pas uniques, mais cela les met fermement dans le bassin d’acteurs de menace qui investissent dans un accès durable plutôt que des coups rapides.»

La stratégie des chargeurs de chaînage et du pontage de défense est devenue de plus en plus courante alors que les groupes de niveau intermédiaire tentent de frustrer l’analyse. Les données de configuration de Purerat, y compris les certificats et les ports épinglés X.509 liés à un serveur C2 vietnamien, ont révélé que les tentatives des opérateurs pour garder leur présence cachée.

Le télégramme et l’infrastructure vietnamienne ont conduit à l’attribution

Les métadonnées dans les archives ZIP exfiltrées ont indiqué @lonenone, une poignée de télégramme précédemment associée au voleur PXA. Ce même alias était apparu dans les rapports antérieurs de Cisco et de Sentineone, et Validin a également lié les infrastructures de Purerat aux acteurs vietnamiens, ont noté des chercheurs.

James Northey, analyste de SOC et auteur principal du rapport, a souligné la progression: «Le rapport de Cisco en décembre montre une chaîne d’événements moins sophistiquée. Ce que nous (et Sentinelone) découverts est une progression claire dans les TTP de l’acteur de menace dans un délai relativement court (je l’ai trouvé en mai).

La convergence de multiples facteurs-infrastructures de télégramme, les serveurs Vietnamiens C2 et la confiance familière de l’opérateur de l’opérateur – Huntraide de Gave pour lier l’activité à PXA. L’équipe SOC a pu remédier à l’intrusion avant que les modules Purerat ne puissent être entièrement déployés, ont ajouté des chercheurs.

Pham a noté que ce n’est pas un cas isolé. «Davantage de groupes de niveau intermédiaire mélangent des logiciels malveillants sur les matières premières avec les chargeurs, superposant des contourages par l’obscurcissement et la défense qui étaient autrefois étroitement associés à des acteurs de menace sophistiqués. Nous nous attendons à voir plus de campagnes de« produits de base »où les maas comme Purerat sont enveloppés dans des chaînes de livraison complexes», a-t-elle déclaré.

Robert Knapp, directeur de SOC, Huntress, voit les TTP en évolution de PXA dans le cadre de la dynamique de «chat et de souris» en cours entre les défenseurs et les acteurs de la menace. Soulignant une doublure argentée à cette sophistication croissante, il a déclaré: «Cela reflète ce que Huntress a vu tout au long de notre existence – les acteurs de la menace continuent de mûrir leurs tactiques en conséquence directe de nos capacités défensives augmentant dans leur efficacité.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Office Table of a Businessman with Office Supplies, Laptop Computer, Mobile Phone and a Cup of Coffee on Top.
Des centaines de systèmes Ivanti EPM exposés en ligne suite à la correction d’une faille critique
System engineers collaborating on coding project, discussing about programming algorithm for new cloud computing user interface. Diverse team of software developers running database system code.
Comment les ingénieurs en sécurité Staff+ peuvent-ils multiplier leur impact ?
KI-Browser prend en charge les services
KI-Browser prend en charge les services