Elastic Security indique qu’une attaque commence par des informations d’identification volées, abuse d’Outlook et l’API graphique de Microsoft.
Les CISO ont encore un autre vecteur d’attaque à s’inquiéter avec la découverte d’une nouvelle famille de logiciels malveillants de vol de données qui utilise Microsoft Outlook comme canal de communication en abusant de l’API du graphique et comprend un moyen de contourner les mots de passe hachés.
Des chercheurs de la sécurité élastique disent que les logiciels malveillants ont été créés par un groupe sans nom ciblant le ministère des Affaires étrangères d’une nation sud-américaine, mais il existe également des liens avec des compromis dans une université en Asie du Sud-Est et des télécommunications dans cette région.
La campagne se caractérise par un «nouvel ensemble d’intrusion bien conçu, très capable et très capable, selon les chercheurs dans un rapport.
La campagne contre le pays sud-américain a peut-être commencé en novembre 2024. C’est à ce moment que la sécurité élastique a détecté un groupe serré d’alertes comportementales du point final au sein du ministère des Affaires étrangères du pays. Il n’est pas clair comment le système informatique a été initialement compromis, mais le gang a utilisé des tactiques de vie une fois à l’intérieur. Cela comprenait l’utilisation de l’application Windows – qui gère les certificats – pour télécharger des fichiers.
L’espionnage semble être le motif, dit le rapport, et il existe des versions Windows et Linux du malware. Mais heureusement, le gang «a montré une mauvaise gestion des campagnes et des tactiques d’évasion incohérentes», note-t-il.
Surveillez les signes
Néanmoins, les CISO devraient surveiller les signes d’attaque en utilisant les techniques de ce groupe, car leurs cibles pourraient devenir plus répandues et les techniques plus sophistiquées.
Une chose que les CISO devraient immédiatement noter: Après un compromis initial, le gang a utilisé le plugin de shell distant de Windows Remote Management () – un processus côté client utilisé par Windows Remote Management – pour télécharger des fichiers. Ces fichiers incluent des fichiers exécutables, RAR, INI et journaux. L’exécutable est une version renommée d’un débogueur signé Windows ,. La maltraitance de ce binaire, note le rapport, a permis aux attaquants d’exécuter un shellcode malveillant livré dans un dossier sous couvert de binaires de confiance, indique le rapport.
L’utilisation du plugin de shell de WRM «indique que les attaquants possédaient déjà des informations d’identification de réseau valides et les utilisaient pour un mouvement latéral à partir d’un hôte précédemment compromis dans l’environnement», indique le rapport. «La façon dont ces références ont été obtenues est inconnue.»
Les principaux composants du malware que cet attaquant utilise, qui incluent un chargeur et une porte dérobée, sont:
- Pathloaderun fichier exécutable Windows léger qui télécharge et exécute ShellCode chiffré hébergé sur un serveur distant. Il utilise des techniques pour éviter l’exécution immédiate dans le bac à sable d’une organisation cible. Pour bloquer l’analyse statique, il effectue le hachage de l’API et le chiffrement des chaînes;
- FinalLogiciels malveillants 64 bits écrits en C ++ qui se concentre sur l’exfiltration des données et l’injection de processus. Il comprend plusieurs modules qui peuvent être injectés par le malware; Leur sortie est transmise à un serveur de commande et de contrôle (C2).
Entre autres choses, il recueille initialement des informations sur les serveurs ou PC compromis, y compris le nom de l’ordinateur, le nom d’utilisateur du compte, les adresses IP internes et externes et les détails sur les processus en cours d’exécution. FinalDraft comprend également une boîte à outils Pass-the-Hash similaire à Mimikatz pour faire face aux hachages NTLM volés.
Une méthode de communication est via le service Outlook Mail, à l’aide de l’API Microsoft Graph. Cette API permet aux développeurs d’accéder aux ressources hébergées sur Microsoft Cloud Services, y compris Microsoft 365. Bien qu’un jeton de connexion soit nécessaire pour cette API, le malware FinalDraft a la possibilité de capturer un jeton API graphique. Selon un rapport de Symantec l’année dernière, un nombre croissant d’acteurs de menace abusent de l’API graphique pour masquer les communications.
De plus, FinalDraft peut, entre autres, installer un écouteur TCP après avoir ajouté une règle au pare-feu Windows. Cette règle est supprimée lorsque le serveur s’arrête. Il peut également supprimer des fichiers – et l’empêche de les récupérer en écrasant les données avec des zéros avant la suppression.
« Je pense que c’est un excellent exemple pour utiliser la technique » Vivre-Off-the-Land « (lolbins) à son plein potentiel », a commenté Ullrich. «Cela indique un adversaire qui a fait ses devoirs pour personnaliser cette attaque pour atteindre le plus efficacement cette cible. Une attaque comme celle-ci est vraiment difficile à défendre. Le «avancé» dans APT (menace persistante avancée) est souvent plus visible dans cette préparation par rapport aux outils réels utilisés et à l’exécution d’une attaque. »
Règles de détection
À la fin de son rapport, Elastic Security répertorie plusieurs règles YARA qu’il a créées et publiées sur GitHub pour aider les défenseurs. Ces règles aident à détecter Pathloader et FinalDraft sur Windows, tandis que cette règle détecte FinalDraft sur Linux.
