Les chercheurs en cybersécurité ont découvert un nouveau rootkit signé par Microsoft qui est conçu pour communiquer avec une infrastructure d’attaque contrôlée par des acteurs.
Trend Micro a attribué le cluster d’activités au même acteur qui avait été précédemment identifié comme étant à l’origine du rootkit FiveSys, qui a été révélé en octobre 2021.
« Cet acteur malveillant est originaire de Chine et ses principales victimes sont le secteur du jeu en Chine », ont déclaré Mahmoud Zohdy, Sherif Magdy et Mohamed Fahmy de Trend Micro. Leur malware semble avoir passé par le processus Windows Hardware Quality Labs (WHQL) pour obtenir une signature valide.
Plusieurs variantes du rootkit couvrant huit clusters différents ont été découvertes, avec 75 pilotes de ce type signés à l’aide du programme WHQL de Microsoft en 2022 et 2023.
L’analyse par Trend Micro de certains des échantillons a révélé la présence de messages de débogage dans le code source, indiquant que l’opération est toujours en phase de développement et de test.
Dans les étapes suivantes, le pilote de première étape désactive le mode Contrôle de compte d’utilisateur (UAC) et Secure Desktop en modifiant le registre et initialise les objets Winsock Kernel (WSK) pour initier la communication réseau avec le serveur distant.
Il interroge en outre périodiquement le serveur pour récupérer plus de charges utiles et les charger directement dans la mémoire après avoir décodé et déchiffré les données reçues, fonctionnant efficacement comme un chargeur de pilote de noyau furtif qui peut contourner les détections.
« Le binaire principal agit comme un chargeur universel qui permet aux attaquants de charger directement un module de noyau non signé de deuxième étape », ont expliqué les chercheurs. « Chaque plug-in de deuxième étape est personnalisé en fonction de la machine victime sur laquelle il est déployé, certains contenant même un pilote compilé personnalisé pour chaque machine. Chaque plug-in a un ensemble spécifique d’actions à effectuer à partir de l’espace noyau. »
Les plug-ins, pour leur part, sont dotés de différentes capacités pour atteindre la persistance, désarmer Microsoft Defender Antivirus, déployer un proxy sur la machine et rediriger le trafic de navigation Web vers un serveur proxy distant.
Tout comme FiveSys, les nouvelles détections de rootkits ont été confinées exclusivement à la Chine. L’un des points d’entrée suspectés de ces infections serait un jeu chinois contenant un cheval de Troie, reflétant la découverte par Cisco Talos d’un pilote malveillant appelé RedDriver.
Les résultats concordent avec d’autres rapports de Cisco Talos et Sophos sur l’utilisation de pilotes en mode noyau malveillants signés par Microsoft pour les activités de post-exploitation, les acteurs de la menace parlant chinois utilisant des logiciels open source populaires au sein de la communauté de développement de triche de jeux vidéo pour contourner restrictions imposées par le géant de la technologie.
Pas moins de 133 pilotes malveillants signés avec des certificats numériques légitimes ont été découverts, dont 81 sont capables de mettre fin aux solutions antivirus sur les systèmes des victimes. Les pilotes restants sont des rootkits conçus pour surveiller secrètement les données sensibles envoyées sur Internet.
Le fait que ces pilotes soient signés par le programme de compatibilité matérielle Windows (WHCP) signifie que les attaquants peuvent les installer sur des systèmes piratés sans déclencher d’alerte et procéder à des activités malveillantes pratiquement sans entrave.
« Parce que les pilotes communiquent souvent avec le » cœur « du système d’exploitation et se chargent avant les logiciels de sécurité, lorsqu’ils sont maltraités, ils peuvent être particulièrement efficaces pour désactiver les protections de sécurité, en particulier lorsqu’ils sont signés par une autorité de confiance », a déclaré Christopher Budd, directeur de la menace. recherche chez Sophos X-Ops, a déclaré.
Microsoft, en réponse aux révélations, a déclaré avoir mis en place des protections de blocage et suspendu les comptes des vendeurs des partenaires impliqués dans l’incident afin de protéger les utilisateurs contre les menaces futures.
Au contraire, le développement brosse le tableau d’un vecteur d’attaque en évolution qui est activement utilisé par les adversaires pour obtenir un accès privilégié aux machines Windows et la détection des contournements par les logiciels de sécurité.
« Les acteurs malveillants continueront d’utiliser des rootkits pour cacher le code malveillant des outils de sécurité, altérer les défenses et voler sous le radar pendant de longues périodes », ont déclaré les chercheurs. « Ces rootkits seront largement utilisés par des groupes sophistiqués qui ont à la fois les compétences pour désosser les composants système de bas niveau et les ressources nécessaires pour développer de tels outils. »
