Si modulaire, si agile
Image may be NSFW.Clik here to view.
La société de sécurité Mandiant a fait état hier de nouvelles techniques d’infection utilisées par le groupe malveillant UNC4990. Elles passent notamment par la lecture d’une chaine de caractères codée en Base64 intégrée dans une image. Le site Ars Technica a servi à la diffusion d’une de ces images.
Ars Technica, GitHub, GitLab et Vimeo sont des exemples de sites et services ayant récemment été utilisés par un acteur malveillant pour diffuser des instructions à un malware. Cette attaque ne se basait pas, comme dans la plupart des cas, par l’exploitation d’une ou plusieurs vulnérabilités.
La première partie de l’attaque est assez classique et passe par l’utilisation d’une clé USB infectée. Les parties suivantes le sont beaucoup moins.
De la clé USB…
La compromission initiale se fait par une clé USB vérolée, relate Mandiant. L’attaque commence sous Windows lorsque l’on clique sur un fichier lien nommé simplement « KINGSTON (32GB).lnk ». Le nom et l’icône sont trompeurs : ils sont censés représenter un accès à un lecteur portable de 32 Go, l’icône étant celle donnée par Windows habituellement aux clés USB.
Au double-clic, c’est script PowerShell qui s’exécute. Nommé « explorer.ps1 », il cible le raccourci :
C:\NWINDOWS\NSystem32\NWindowsPowerShell\Nv1.0\Npowershell.exe -windowstyle hidden -NoProfile -nologo -ExecutionPolicy ByPass -File explorer.ps1L’objectif du script est de récupérer une charge utile, en l’occurrence un téléchargeur nommé EMPTYSPACE. Pour y parvenir cependant, il passe par une étape intermédiaire.
