Je souhaite obtenir des informations sur une formation complète concernant le thème DIVI dispensé
par un organisme de formation certifié par l’état.
Que la formation soit finançable par mon CPF (idéalement) ou autre


Malware

Un nouveau logiciel malveillant utilise des fichiers Word avec des macros pour télécharger un script PowerShell à partir de GitHub.

Ce script PowerShell télécharge également un fichier image légitime à partir du service d’hébergement d’images Imgur pour décoder un script Cobalt Strike sur les systèmes Windows.

Plusieurs chercheurs peuvent avoir lié cette souche à Eau boueuse (alias Ver des graines et TEMP.Zagros), initialement un groupe soutenu par le gouvernement sur les menaces persistantes avancées (APT) observé en 2017 tandis que principalement Le groupe cible sont les entreprises du Moyen-Orient.

La macro Word démarre le script PowerShell hébergé sur GitHub

Cette semaine les chercheurs Arkbird a partagé des détails sur un nouveau malware basé sur des macros qui échappe et génère une charge utile en plusieurs étapes.

Le brin malware, qui selon le chercheur ressemble à « MuddyWater », est livré sous forme de macro intégrée dans un ancien fichier Microsoft Word (* .doc) dans le style du groupe APT.

Dans les tests de BleepingComputer, la macro incorporée est exécutée lorsque le document Word est ouvert. La macro continue de démarrer Powershell.exe et lui donne l’emplacement d’un script PowerShell hébergé sur GitHub ((archivé).

Macro Word avec lien vers GitHub
Script de macro intégré dans le document Word malveillant
Source: BleepingComputer

Le script PowerShell en une ligne fournit des instructions sur la façon de télécharger un vrai fichier PNG (illustré ci-dessous) à partir du service d’hébergement d’images Imgur.

Bien que cette image elle-même puisse être inoffensive, ses valeurs de pixels sont utilisées par le script PowerShell pour calculer la charge utile de l’étape suivante.

Le logiciel malveillant calcule la charge utile de niveau suivant en décodant les valeurs de pixels de l'image
Le logiciel malveillant calcule la charge utile de la prochaine étape en décodant les valeurs de pixel de cette image
Source: Imgur

La technique consistant à masquer du code, des données secrètes ou des charges malveillantes dans des fichiers normaux tels que des images est connue sous le nom de Stéganographie.

Des outils comme Invoke-PSImage Rendez cela possible en encodant un script PowerShell dans les pixels d’un fichier PNG et en générant une commande sur une ligne pour exécuter la charge utile.

Comme observé par BleepingComputer et illustré ci-dessous, l’algorithme de calcul de la charge utile effectue un pour chaque Faire une boucle sur un ensemble de valeurs de pixels dans l’image PNG et effectuer des opérations arithmétiques spécifiques pour obtenir des commandes ASCII fonctionnelles.

Télécharger la charge utile imgur
Le script PowerShell hébergé sur GitHub télécharge le PNG à partir d’Imgur et l’utilise pour calculer la charge utile
Source: BleepingComputer

Le script décodé exécute la charge utile Cobalt Strike

Le script décodé obtenu en manipulant les valeurs de pixels du PNG est un script Cobalt Strike.

Frappe au cobalt est une boîte à outils de test de pénétration légitime qui permet aux attaquants de déployer des balises sur des appareils compromis pour «créer des shells, exécuter des scripts PowerShell, augmenter les autorisations ou créer une nouvelle session pour créer un écouteur sur le système de la victime».

En fait, le shellcode décodé comprend un EICAR Chaîne de caractères pour inciter les outils de sécurité et les équipes SOC à confondre cette charge malveillante avec un test antivirus réalisé par des experts en sécurité.

Cependant, la charge utile contacte en fait le serveur de commande et de contrôle (C2) via un WinINet Module pour plus d’instructions selon Arkbird.

Le domaine attribué au serveur C2 Mazzion1234-44451.portmap.host n’était plus accessible au moment de la rédaction de cet article.

Cependant, le chercheur a noté que « le domaine a été enregistré vers le 20 décembre 2020. Le compte GitHub a reporté le script le 24 décembre, date de soumission [VirusTotal]. « 

L’émergence de cette charge de malwares évasifs pendant la période des fêtes donne aux adversaires un autre avantage: ils doivent masquer leurs pas lorsque la plupart des employés sont susceptibles d’être absents et moins vigilants.

Bien que l’attribution faisant autorité soit difficile compte tenu de la possibilité d’attaques par imitation, le chercheur en sécurité Florian Roth de Nextron Systems a ajouté les IOC (Indicators of Compromise) associés à ce malware à la liste des IOC MuddyWater.

Le chercheur a également fourni Règles YARA Cela vous permet de reconnaître la variante dans votre environnement.

Les IOC associés aux documents Word chargés en macro utilisés dans cette campagne contre les logiciels malveillants sont répertoriés ci-dessous:

  1. d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81

  2. ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866

Lorsque vous recevez un document Word suspect en un E-mail de phishing ou sinon, ne l’ouvrez pas et n’y exécutez pas de « macros ».

Ce n’est pas la première fois que des services légitimes comme GitHub et Imgur sont mal utilisés pour fournir du code malveillant.

Botnet récemment vermifuge Gitpaste-12 a utilisé à la fois GitHub et Pastebin pour héberger sa charge utile malveillante et éviter la détection.

Ils aiment aussi les groupes de ransomwares CryLocker On sait qu’Imgur est utilisé pour stocker des données.





Source link

Recent Posts