Les fabricants de produits de cybersécurité sont invités à adapter leurs applications pour détecter les abus d’un nouvel outil de simulation d’attaque commerciale utilisé par les cybercriminels.
L’avertissement, émis aujourd’hui par des chercheurs du service de renseignements sur les menaces Unit 42 de Palo Alto Networks, exhorte également les équipes de TI et de cybersécurité dans les organisations à surveiller les signes de logiciels malveillants qui incluent l’outil Brute Ratel C4 (BRc4).
BRc4, vendu par une société appelée Dark Vortex, est similaire à l’outil commercial légitime de simulation d’attaque Cobalt Strike vendu aux services informatiques pour tester les défenses et former le personnel. Depuis plusieurs années, les cybercriminels utilisent des copies illégales de Cobalt Strike pour aider dans leurs attaques en analysant les réseaux des victimes. Maintenant, les cybercriminels utilisent plutôt le BRc4.
Les chercheurs de Unit 42 ont affirmé qu’en mai, quelqu’un avait téléchargé un fichier contenant une charge utile associée à BRc4 sur le site Web de VirusTotal pour vérification. VirusTotal est un outil utilisé par les chercheurs en sécurité pour identifier d’éventuels codes malveillants à l’aide de scanners antimalware de 56 entreprises. Cependant, selon Unit 42, ce logiciel malveillant particulier a été transmis par tous les scanners.
Selon Unit 42, ce qui rend le BRc4 « particulièrement dangereux », c’est qu’il a été spécialement conçu pour éviter la détection par les outils de détection et de réponse et les antivirus.
L’échantillon de logiciel malveillant examiné par Unit 42 s’est connecté au port 443 d’une adresse IP d’Amazon Web Services (AWS) située aux États-Unis, indique le rapport. Le certificat de vérification X.509 sur le port d’écoute a été configuré pour se faire passer pour Microsoft, avec « Microsoft » comme nom d’organisation de et « Security » comme unité organisationnelle.
En se basant sur le certificat et d’autres artefacts, les chercheurs ont identifié 41 adresses IP malveillantes, neuf échantillons BRc4 et trois autres organisations en Amérique du Nord et du Sud qui ont été touchées par cet outil jusqu’à présent, indique le rapport.
Le rapport ne précise pas comment le logiciel malveillant examiné par Unit 42 est distribué – sous forme de pièce jointe à un e-mail ou de fichier téléchargé après avoir compromis une application ou un appareil vulnérable, ou un autre mécanisme.
L’échantillon de logiciel malveillant examiné par Unit 42 était présenté sous la forme d’un fichier ISO autonome. Un fichier de raccourci Windows (LNK), une DLL contenant une charge utile malveillante et une copie légitime de Microsoft OneDrive Updater étaient inclus. Les tentatives d’exécution de l’application bénigne à partir du dossier monté sur ISO ont entraîné le chargement de la charge utile malveillante en tant que dépendance via une technique connue sous le nom de détournement d’ordre de recherche DLL, indique le rapport.
« Ces techniques démontrent que les utilisateurs de l’outil utilisent désormais la technologie des États-nations pour déployer BRc4 », indique le rapport.
Lire aussi :
Faible maturité des entreprises canadiennes en matière de cybersécurité
Une porte dérobée dans le serveur Web IIS de Microsoft, préviennent les chercheurs de Kaspersky
Un ver se propage via des clés USB infectées, prévient Microsoft
Adaptation et traduction française par Renaud Larue-Langlois.
