Deux campagnes de malware récemment découvertes exploitent des logiciels open source dans les environnements Windows et Linux pour cibler les dirigeants d’entreprise et les systèmes cloud, signalant une forte escalade de l’ingénierie sociale et de la sophistication des attaques au niveau du noyau.
Le premier est un script Python open source destiné aux dirigeants d’entreprise. Cette campagne de phishing exploite les messages privés des réseaux sociaux pour propager des charges utiles malveillantes, probablement dans le but de déployer un cheval de Troie d’accès à distance (RAT). L’activité fournit des fichiers armés via le chargement latéral de la bibliothèque de liens dynamiques (DLL), associé à un script de test d’intrusion Python open source légitime.
Comme l’a observé la société de cybersécurité ReliaQuest, l’attaque consiste à approcher des personnes de grande valeur via des messages LinkedIn, à instaurer la confiance et à les inciter à télécharger une archive auto-extractible WinRAR (SFX) malveillante. Une fois lancée, l’archive extrait quatre composants différents.
Ceux-ci incluent une application de lecture PDF open source légitime, une DLL malveillante que le lecteur PDF a chargée, un exécutable portable de l’interpréteur Python et un fichier RAR qui sert probablement de leurre.
Persistance sans fichier pour le contrôle au niveau du noyau
Selon un rapport ReliaQuest rédigé par Emily Jia, la DLL téléchargée dépose l’interpréteur Python sur le système. Le processus crée ensuite une clé d’exécution du registre Windows qui garantit que l’interpréteur Python s’exécute automatiquement à chaque connexion.
L’interpréteur exécute ensuite le shellcode codé en Base64 directement en mémoire, évitant ainsi les artefacts médico-légaux sur le disque. La charge utile finale tente de communiquer avec un serveur externe, accordant ainsi aux attaquants un accès à distance persistant à l’hôte compromis et permettant l’exfiltration des données.
Le second est un framework de malware Linux développé en Chine, appelé VoidLink, qui cible les environnements cloud. La société de cybersécurité Check Point Research a indiqué que VoidLink représente une évolution significative des logiciels malveillants ciblant Linux, car il s’agit de la première compilation de rootkits côté serveur (SRC) documentée. Le serveur de commande et de contrôle (C2) crée des modules de noyau à la demande pour la version spécifique du noyau de chaque cible, résolvant ainsi le problème de portabilité qui limitait les rootkits de modules de noyau chargeables (LKM).
« VoidLink est un dangereux précédent en matière de sophistication des logiciels malveillants ciblant Linux. Cette fonctionnalité résout un problème fondamental limitant le déploiement des rootkits du noyau dans des environnements d’infrastructure hétérogènes », a déclaré Mayuresh Dani, responsable de la recherche en sécurité chez Qualys Threat Research Unit, à LinuxInsider.
Anciennes techniques, nouvelle ingénierie sociale
Sean Malone, responsable de la sécurité de l’information chez BeyondTrust, a déclaré à LinuxInsider que la technique de chargement latéral n’est pas nouvelle. Cela évite de placer des binaires malveillants sur le disque car l’interpréteur Python sera correctement classé comme inoffensif.
« Cela dit, ce n’est pas aussi subtil que les techniques qui vivent entièrement de la terre, car cela nécessite un binaire supplémentaire qui n’est probablement pas présent par défaut sur la plupart des systèmes d’utilisateurs », a-t-il expliqué.
Malone a ajouté que l’utilisation des médias sociaux pour propager des logiciels malveillants est un jeu constant du chat et de la souris. Il existe là un potentiel considérable et inexploité pour un adversaire.
« Chacune des plateformes de médias sociaux est naturellement motivée à restreindre de tels comportements. Cependant, c’est un problème difficile à résoudre », a-t-il déclaré.
Selon Jason Soroko, chercheur principal à la plateforme de gestion de certificats Sectigo, l’innovation ne réside pas dans l’exécution technique mais dans le vecteur d’ingénierie sociale utilisé pour fournir la charge utile. Au lieu de s’appuyer sur des e-mails de phishing génériques, ces attaquants cultivent la confiance auprès de cibles de grande valeur via des messages directs sur LinkedIn.
« Cette approche personnalisée exploite le contexte professionnel de la plateforme pour baisser la garde de la victime avant de la persuader de télécharger le fichier militarisé. La campagne réussit en combinant un contournement technique standard avec une manipulation très ciblée des relations professionnelles », a-t-il déclaré à LinuxInsider.
Mesures défensives face aux menaces Linux émergentes
Dani de Qualys a noté que la grâce salvatrice dans la défense contre VoidLink est que les chercheurs ont découvert le framework comme une version « en cours » avec des symboles de débogage toujours intégrés. En conséquence, VoidLink reste inachevé. Les acteurs menaçants se préparent à un déploiement opérationnel imminent mais n’ont pas encore commencé à cibler à grande échelle.
« Cependant, cela signifie également que VoidLink n’est pas encore un produit fini, mais qu’il est en cours de développement et de déploiement », a-t-il déclaré.
Dani a recommandé aux organisations de prendre dès maintenant des mesures spécifiques pour opérationnaliser la chasse aux menaces autour des indicateurs VoidLink. Ceux-ci incluent :
- Surveiller les applications compilées dans le langage de programmation Zig
- Déployer la détection des menaces d’exécution pour détecter l’exécution sans fichier via memfd_create combiné avec execveat
- Surveillez le trafic ICMP pour détecter les modèles anormaux, en particulier les demandes d’écho (ICMP type 8) avec le champ d’identification 0xC0DE.
- Auditer le chargement des modules du noyau en établissant un inventaire de base des modules du noyau chargés via lsmod et /proc/modules
- Inventaire et restreindre l’accès aux métadonnées du cloud via des politiques réseau lorsque cela est possible, et alerter sur les modèles d’accès inhabituels provenant de processus inattendus
- Établir une base de référence pour la dénomination des processus, car les threads légitimes du noyau n’ont pas d’exécutables dans l’espace utilisateur
- Activer la surveillance du chargement du programme eBPF via l’appel système bpf()
- Renforcer et mettre en œuvre des politiques de sécurité des conteneurs
- Renforcer les paramètres du noyau pour restreindre le chargement des modules du noyau non signés
Même si VoidLink reste inachevé et que les indicateurs actuels sont limités, le cadre montre à quelle vitesse les logiciels malveillants ciblant Linux peuvent évoluer une fois le déploiement opérationnel commencé. L’établissement d’une visibilité et de références donne désormais aux défenseurs une fenêtre étroite pour détecter et perturber ces techniques avant qu’elles ne mûrissent et ne se développent.
