Des chercheurs de Mandiant, entreprise américaine de cybersécurité et une filiale de Google, indique que des pirates ayant des liens avec le gouvernement nord-coréen ont diffusé une version trojanisée de l'utilitaire de réseau PuTTY dans le but d'ouvrir une porte dérobée sur le réseau des organisations qu'ils veulent espionner. « En juillet 2022, au cours d'activités proactives de chasse aux menaces dans une entreprise du secteur des médias, Mandiant Managed Defense a identifié une nouvelle méthodologie de phishing employée par le groupe de menaces identifié comme UNC4034. Nous avons identifié plusieurs similitudes entre ce groupe et ceux que nous soupçonnons d'avoir un lien avec la Corée du Nord », écrit l'entreprise.UNC4034 a établi la communication avec la victime via WhatsApp et l'a incitée à télécharger un paquet ISO malveillant concernant une fausse offre d'emploi qui a conduit au déploiement de la porte dérobée AIRDRY.V2 via une instance trojanisée de l'utilitaire PuTTY.
L'une des pierres angulaires de l'offre de services de Mandiant Managed Defense est son programme proactif de chasse aux menaces qui protège les clients contre les outils, tactiques et techniques des cybercriminels qui contournent les mécanismes de détection traditionnels. Les traqueurs de menaces de Managed Defense s'appuient sur les recherches approfondies de Mandiant sur l'exposition aux comportements des acteurs de la menace pour améliorer et étendre continuellement ses capacités de traque aux menaces.
Identifiée par l'équipe Mandiant Intelligence : Staging Directories, qui recherche les fichiers anormaux écrits dans des répertoires couramment utilisés par les cybercriminels. Les techniques utilisées par UNC4034 dans cette compromission, ainsi que les techniques utilisées dans d'innombrables intrusions étudiées par Mandiant, sont utilisées pour développer et affiner en permanence les hypothèses de chasse aux menaces au sein de Managed Defense. Ces hypothèses fournissent des pistes de haute fidélité et exploitables, qui tiennent compte de l'évolution des techniques utilisées par les cybercriminels.
La piste initiale
La piste initiale était un fichier téléchargé sur l'hôte nommé amazon_assessment.iso. Les archives ISO et IMG sont devenues attrayantes pour les acteurs de la menace car, à partir de Windows 10, un double-clic sur ces fichiers les monte automatiquement en tant que disque virtuel et rend leur contenu facilement accessible. Cela réduit l'effort nécessaire pour visualiser les fichiers intégrés par rapport à d'autres formats tels que les archives RAR. La détection des archives IMG et ISO malveillantes transmises par des pièces jointes de phishing est une routine pour Mandiant Managed Defense. Les charges utiles contenues dans ces archives vont des logiciels malveillants de base aux portes dérobées avancées comme l'échantillon analysé dans cet article de blog.
Leurre de phishing
Mandiant Managed Defense a effectué une enquête sur l'hôte pour déterminer comment le fichier amazon_assessment.iso a été créé. Sur la base des données disponibles, Mandiant estime que UNC4034 a entamé la communication avec la victime en lui proposant par e-mail une offre d'emploi chez Amazon. Par la suite, UNC4034 a communiqué avec elle via WhatsApp et a partagé le fichier amazon_assessment.iso, que l'utilisateur a téléchargé en utilisant la version web de WhatsApp
L'archive amazon_assessment.iso contenait deux fichiers : un exécutable et un fichier texte. Le fichier texte nommé Readme.txt contenait des détails de connexion à utiliser avec le second fichier : PuTTY.exe.
Server: 137.184.15[.]189
User: test
Pass: [Redacted by Mandiant]
Contenu de Readme.txt
PuTTY est un client SSH et Telnet open source. Les versions légitimes et compilées de l'outil téléchargées depuis le site Web de l'éditeur possèdent une signature numérique valide. Cependant, comme le montre la ci-dessous, le binaire PuTTY.exe contenu dans l'archive malveillante ne possède pas de signature numérique.
Signatures numériques de l'utilitaire PuTTY distribué officiellement (à gauche) et de la version malveillante (à droite)
La taille du binaire PuTTY téléchargé par la victime est également nettement supérieure à celle de la version légitime. En y regardant de plus près, on constate qu'il comporte une section .data importante et à forte entropie par rapport à la version officiellement distribuée. Les sections de ce type indiquent généralement des données chiffrées.
Comparaison de la section .data de l'utilitaire PuTTY officiellement distribué (à gauche) et de l'échantillon malveillant (à droite)
La nature suspecte de PuTTY.exe intégré dans le fichier ISO a incité Managed Defense à effectuer une enquête plus approfondie sur l'hôte et le fichier lui-même. L'exécution du binaire malveillant de PuTTY a entraîné le déploiement d'une porte dérobée sur l'hôte. La porte dérobée déployée est une évolution de la famille des logiciels malveillants que Mandiant identifie comme étant AIRDRY. Mandiant Managed Defense a réussi à enquêter sur la compromission et à contenir l'hôte avant que l'activité de suivi résultant de la porte dérobée déployée ne se produise. Alors que Mandiant a détecté et répondu à la compromission le 2022-07-05, le même exécutable PuTTY a été vu sur VirusTotal dès le 2022-06-27.
En outre, Mandiant a découvert une deuxième archive ISO nommée amazon_test.iso téléchargée sur VirusTotal le 2022-06-17. Mandiant a trouvé la deuxième archive en pivotant à partir de l'adresse IP contenue dans le fichier Readme.txt. Ce fichier ISO contenait également un fichier Readme.txt avec la même adresse IP et un exécutable PuTTY trojanisé similaire.
Les deux fichiers ISO trouvés par Mandiant semblent utiliser le même thème de leurre en se faisant passer pour une évaluation de recrutement pour Amazon. Ils contiennent également des logiciels malveillants construits de manière similaire, qui aboutissent à la charge utile finale de la porte dérobée AIRDRY.V2.
Analyse du logiciel malveillant
L'exécutable intégré à chaque fichier ISO est une application PuTTY entièrement fonctionnelle, compilée à l'aide du code source de la version 0.77 de PuTTY accessible au public.
Interface PuTTY affichée lors de l'exécution des échantillons malveillants
Chaque échantillon contient un code malveillant qui écrit une charge utile intégrée sur le disque et la lance. Cependant, le code malveillant a été inséré à différents endroits dans chacun des échantillons de PuTTY trojanisés. Dans l'échantillon de PuTTY découvert par Mandiant, le code réside dans la fonction connect_to_host, qui se trouve dans le fichier source putty-0.77\ssh.c. Pour déclencher le code, l'utilisateur doit tenter une connexion SSH à l'adresse IP de l'hôte fournie dans le fichier Readme.txt.
Dans l'échantillon de PuTTY découvert sur VirusTotal, le code malveillant a été inséré dans la fonction ssh2_userauth_process_queue (fichier source : putty-0.77\ssh\userauth2-client.c). Le code se trouve dans la partie de la fonction responsable de l'authentification par mot de passe, par opposition à d'autres méthodes telles que l'authentification par clé publique ou par clavier interactif. Une fois que l'utilisateur établit une connexion et saisit son nom d'utilisateur et son mot de passe, le code malveillant est exécuté quel que soit le résultat de l'authentification. Ces garde-fous d'exécution sont probablement une tentative de l'UNC4034 d'éviter de laisser tomber inutilement l...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.