Le programme malveillant a été déployé dans plusieurs secteurs depuis avril, contribuant ainsi à fournir un accès initial vendu aux gangs de ransomwares.
Les chercheurs ont identifié un nouveau programme de porte dérobée qui a été utilisé dans des intrusions dans les entreprises depuis avril et qui semble être lié à un courtier d’accès initial qui vend des points d’accès au réseau à des gangs de ransomwares.
Surnommé Mistic par des chercheurs de Symantec, le programme malveillant a été déployé sur des réseaux appartenant à des organisations de plusieurs secteurs, notamment les assurances, l’éducation, l’informatique et les services professionnels. Dans certains cas, il a été utilisé aux côtés de ModeloRAT, un logiciel malveillant écrit en Python associé à l’acteur malveillant Woodgnat, également connu sous le nom de KongTuke.
« Woodgnat fonctionnerait principalement comme un IAB (courtier d’accès initial) », ont indiqué les chercheurs de Symantec dans leur rapport. « Son objectif n’est pas de fournir la charge utile finale, mais d’établir un accès à distance très durable au sein d’une entreprise et de vendre cet accès de haut niveau aux affiliés du ransomware et à d’autres attaquants moyennant des frais. L’équipe Symantec Threat Hunter a observé que ModeloRAT était utilisé dans des attaques délivrant le ransomware Qilin. «
Woodgnat est opérationnel depuis au moins mai 2024 et a servi plusieurs gangs de ransomwares au cours des deux dernières années, notamment Interlock, Rhysida, Akira, 8Base et Black Basta. Ses attaques sont largement opportunistes en redirigeant les visiteurs Web vers diverses campagnes d’ingénierie sociale ClickFix.
Une porte dérobée avec des capacités de vol d’informations d’identification
La porte dérobée Mistic est lancée via une technique appelée chargement latéral de DLL, dans laquelle un exécutable légitime appartenant à un autre programme est exécuté en premier et recherche une DLL d’un nom particulier à charger en mémoire. Il s’agit d’une technique très populaire pour éviter la détection, car de nombreux programmes légitimes effectuent des recherches dynamiques de DLL dans plusieurs dossiers et sont vulnérables à l’empoisonnement des DLL.
Ironiquement, dans ce cas, les attaquants livrent et exécutent un fichier appelé MpExtMs.exe, signé numériquement et appartenant à Microsoft Defender. Ce fichier recherche une DLL appelée version.dll, qui à son tour recherche et charge une autre appelée EndpointDlp.dll. Les attaquants ont nommé leur porte dérobée EndpointDlp.dll afin qu’elle soit chargée directement en mémoire.
La porte dérobée elle-même s’adresse à un serveur de commande et de contrôle (C2) et peut exécuter le code délivré directement en mémoire, sans enregistrer aucun fichier sur le disque. D’autres fonctionnalités incluent la possibilité d’écrire, de supprimer et de déplacer des fichiers sur la machine victime ainsi que de télécharger et de télécharger des fichiers sur le serveur C2.
Les chercheurs ont également observé qu’une DLL .NET volant des informations d’identification était téléchargée et exécutée sur les réseaux des victimes, en plus de ModeloRAT. Les outils système courants utilisés par les attaquants incluent curl, reg.exe, net.exe, PowerShell, certutil.exe et Windows Management Instrumentation (WMIC).
« Le fait que Mistic s’exécute en mémoire et dispose également d’un kill switch intégré signifie qu’il est très furtif, permettant potentiellement un accès furtif à long terme aux attaquants », ont déclaré les chercheurs.
Chaînes d’infection ClickFix
Les campagnes d’attaque du groupe Woodgnat consistaient souvent à inciter les utilisateurs à exécuter des commandes PowerShell malveillantes sur leurs ordinateurs en utilisant diverses astuces d’ingénierie sociale, notamment l’affichage de faux tests CAPTCHA sur des sites Web, le blocage du navigateur de l’utilisateur et la demande de coller des commandes pour réparer le crash.
Depuis avril, les attaquants ont également commencé à envoyer des messages aux victimes sur Microsoft Teams en se faisant passer pour le personnel d’assistance informatique et en les guidant à travers une série d’étapes de collage et d’exécution malveillantes.
« Bien que la compromission initiale puisse être opportuniste, les attaquants profilent les machines en fonction de leur intérêt potentiel afin de déterminer leur valeur et s’ils peuvent en vendre l’accès », ont expliqué les chercheurs.
La porte dérobée Mistic est le dernier exemple de courtiers d’accès initiaux et de gangs de ransomwares qui reviennent à l’utilisation d’outils malveillants personnalisés qu’ils ont développés en interne au lieu de s’appuyer uniquement sur des outils d’administration système vivant de l’extérieur et à double usage.
Le rapport Symantec comprend une liste d’indicateurs de compromission pour cette nouvelle porte dérobée et d’autres fichiers malveillants et adresses IP utilisés dans les récentes attaques Woodgnat.
