Parmi les autres éléments remarquables, il y a diverses méthodes d’évasion. Ne le faites pas :
– Manipulation d’API Windows de traçage et d’analyse antimalware
– Recours à de multiples compilateurs et couches de chiffrement
– Signature d’une quinzaine de modules
L’attaque implique plusieurs briques issues de boîtes à outils SilentBreak et Cobalt Strike. Au bout de la chaîne se trouvent deux chevaux de Troie communiquant sur HTTP et SMB. Tout en amont se trouve une archive RAR que la victime est supposée avoir téléchargée.
À un stade de l’attaque, WerFault (fonction de rapport d’erreurs de Windows) entre en jeu. Ou plus précisément une copie, placée dans le dossier des tâches Windows. Elle fait appel à un chargeur – déguisé en DLL – qui intercepte les journaux du service de gestion de clés (KMS). Et donc le code défectueux, qu’il reconstitue… et qui s’exécute avec plusieurs paramètres dont l’adresse mémoire des chevaux de Troie.
Kaspersky affirme ne pas avoir détecté de similitudes avec le code utilisé dans les attaques précédentes. Il insiste toutefois sur la prédominance des modules issus de SilentBreak.
Photo d’illustration © Pavel Ignatov – Shutterstock
