16/12/2024

Actu Cybersécurité

Des pirates cachent une porte dérobée dans une image qui représente le logo Windows

Une campagne malveillante initiée par le groupe de cybercriminels Witchetty s'appuie sur la stéganographie pour cacher une porte dérobée dans une image du logo Windows.

L'entreprise Symantec a mis en ligne un nouveau rapport qui évoque une campagne malveillante initiée en février 2022 par les pirates du groupe Witchetty (surnommé aussi LookingFrod), ce dernier étant soupçonné d'avoir des liens étroits avec le groupe chinois APT10. Dans cette campagne, les cybercriminels ciblent différentes vulnérabilités et ils s'appuient sur la stéganographie pour diffuser la souche malveillante sans être détectés par les antivirus. Grâce à cette technique, le malware est intégré dans un fichier image qui, à première vue, semble inoffensif et dans le cas présent, il s'agit d'un logo de Windows au format Bitmap.

Logo Windows avec une porte dérobée
Logo Windows avec une portée dérobée - Source : Symantec

D'après Symantec, le logo de Windows s'affiche correctement, mais il contient une porte dérobée chiffrée avec la méthode XOR. Preuve que cette technique est difficile à détecter, le fichier image est hébergé sur GitHub, plutôt que sur l'infrastructure des pirates informatiques. "En déguisant la charge utile de cette manière, les attaquants ont pu l'héberger sur un service gratuit et fiable. Les téléchargements à partir d'hôtes de confiance tels que GitHub sont beaucoup moins susceptibles de déclencher des alertes que les téléchargements à partir d'un serveur de commande et de contrôle (C&C) piloté par un attaquant.", précise Symantec.

ProxyLogon et ProxyShell comme point d'entrée

Néanmoins, cette image n'est pas utilisée comme vecteur d'infection initial puisque les pirates cherchent d'abord à exploiter des vulnérabilités bien connues et qui touchent les serveurs Exchange. Non, je ne fais pas référence aux deux failles zero-day qui viennent d'être révélées, mais plutôt aux vulnérabilités ProxyLogon et ProxyShell. D'ailleurs, d'autres sources malveillantes telles que des ransomwares apprécient également ces vulnérabilités pour compromettre les infrastructures.

Une fois l'infrastructure compromise, les cybercriminels mettent en place la porte dérobée qui se cache dans le logo Windows. Grâce à elle, ils sont mesure de réaliser diverses actions : gérer les fichiers et les dossiers ; démarrer, lister et tuer les processus ; modifier le Registre Windows ; exfiltrer des données ou encore télécharger des charges malveillantes et des outils additionnels (Mimikatzand, par exemple).

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.