L’inventivité des pirates est parfois sans limites. Les chercheurs en sécurité de Kaspersky ont détecté une nouvelle campagne de cyberattaques ciblées qui les a beaucoup étonnés. Elle se décompose, comme souvent, en plusieurs étapes de déploiement de codes malveillants. Mais l’une de ces étapes est particulièrement innovante. En effet, les pirates ont écrit leur code malveillant sous forme de « shellcode », c’est-à-dire un code binaire exécutable destiné à être injecté dans la mémoire du système infecté.
Ce code a été chiffré, puis découpé en petits bouts de 8 ko avant d’être éparpillé dans une partie des logs de Windows. Le moment venu, un fichier DLL vérolé se chargera de récupérer tous ces bouts, de les assembler à nouveau et d’exécuter le code ainsi obtenu.
C’est un procédé particulièrement discret et difficile à détecter, car à aucun moment le code malveillant n’existe sous la forme d’un fichier. C’est la première fois que les chercheurs de Kaspersky ont observé cette technique de camouflage dans une véritable attaque.
A découvrir aussi en vidéo :
Cette campagne se caractérise aussi par l’utilisation d’un large éventail d’outils, certains provenant d’outils de pentest commerciaux comme Cobalt Strike ou SilentBreak, d’autres étant créés sur mesure.
Tous ces outils, que les chercheurs détaillent dans une note de blog très technique, ne servent qu’à une seule chose : installer une backdoor accessible depuis l’extérieur, soit au travers du protocole HTTP, soit par une technique de communication inter-processus appelée « tube nommé » (« named pipes »).
Comme les codes malveillants analysés ne ressemblent à rien de connu, Kaspersky est pour l’instant dans l’incapacité de les attribuer à un groupe de pirates déjà référencé. Ce qui est clair, c’est que ce n’est pas l’œuvre d’amateurs, mais probablement la création d’une organisation étatique. Mais qui ?
Source : Kaspersky