Utilisé depuis avril pour s’introduire dans des entreprises, ce programme de porte dérobée semble être lié à un courtier d’accès initial qui vend des points d’ancrage réseau à des groupes de ransomware. Surnommé « Mistic » par les chercheurs de Symantec qui l’ont identifié, ce malware a été déployé sur les réseaux d’entreprises de nombreux secteurs, dont l’assurance, l’éducation, l’IT et les services professionnels. Dans certains cas, il a été utilisé en association avec ModeloRAT, un malware écrit en Python associé à l’acteur malveillant Woodgnat, également connu sous le nom de KongTuke. « Woodgnat fonctionnerait principalement comme un courtier d’accès initial (Initial Access Broker, IAB) », ont indiqué les chercheurs de Symantec dans leur rapport. Ils précisent que Zscaler avait pour la première fois documentée en avril dernier la backdoor.

« Son objectif n’est pas de déployer la charge utile finale, mais d’établir un accès à distance durable au sein d’une entreprise et de vendre cet accès de haut niveau à des affiliés de groupes de ransomware et à d’autres attaquants moyennant finance. » L’équipe Symantec Threat Hunter ajoute qu’elle a observé l’utilisation de ModeloRAT dans des attaques déployant le ransomware Qilin. Woodgnat est actif depuis au moins mai 2024 et a travaillé pour plusieurs groupes de ransomware au cours des deux dernières années, notamment Interlock, Rhysida, Akira, 8Base et Black Basta. Ses attaques sont surtout opportunistes et consistent à rediriger les internautes vers diverses campagnes d’ingénierie sociale de type ClickFix.

Une porte dérobée capable de voler des identifiants

La backdoor Mistic est lancée via une technique dite de « sideloading de DLL », qui consiste à exécuter d’abord un exécutable légitime appartenant à un autre programme, lequel recherche ensuite une DLL portant un nom spécifique pour la charger en mémoire. Cette technique est très répandue pour échapper à la détection, car de nombreux programmes officiels effectuent des recherches dynamiques de DLL dans plusieurs dossiers et sont vulnérables à l’empoisonnement de DLL. Ironiquement, dans ce cas précis, les attaquants diffusent et exécutent un fichier nommé MpExtMs.exe, qui est signé numériquement et appartient à Microsoft Defender. Ce fichier recherche une DLL nommée version.dll, qui à son tour recherche et charge une autre DLL appelée EndpointDlp.dll. Les attaquants ont nommé leur porte dérobée EndpointDlp.dll afin qu’elle soit chargée directement en mémoire.

La porte dérobée elle-même contacte un serveur de commande et de contrôle (C2) et peut exécuter le code qui lui est transmis directement en mémoire, sans enregistrer aucun fichier sur le disque. Parmi ses autres fonctionnalités, on note la capacité d’écrire, de supprimer et de déplacer des fichiers sur la machine de la victime, ainsi que de télécharger et d’envoyer des fichiers vers le serveur C2. Les chercheurs ont également observé qu’en plus de ModeloRAT, une DLL .NET destinée au vol d’identifiants était téléchargée et exécutée sur les réseaux des victimes. Parmi les outils système couramment utilisés par les attaquants figurent curl, reg.exe, net.exe, PowerShell, certutil.exe et Windows Management Instrumentation (WMIC). « Le fait que Mistic s’exécute en mémoire et intègre un kill switch signifie qu’il est très furtif, ce qui offre aux attaquants la possibilité de bénéficier d’un accès furtif à long terme », ont souligné les chercheurs.

Chaînes d’infection ClickFix

Les campagnes d’attaque du groupe Woodgnat consistaient souvent à inciter les utilisateurs à exécuter des commandes PowerShell malveillantes sur leurs ordinateurs à l’aide de diverses techniques d’ingénierie sociale, notamment l’affichage de faux tests Captcha sur des sites web, le blocage du navigateur de l’utilisateur et la demande de coller des commandes pour résoudre le problème. Depuis avril, les attaquants ont également commencé à envoyer des messages aux victimes sur Microsoft Teams en se faisant passer pour des techniciens du support IT et en les guidant à travers une série d’étapes malveillantes consistant à copier-coller et à exécuter des commandes.

« Même si la compromission initiale peut être opportuniste, les attaquants analysent les machines pour déterminer leur intérêt potentiel, leur valeur et s’ils peuvent vendre l’accès à celles-ci », ont expliqué les chercheurs. La porte dérobée Mistic est le dernier exemple en date à montrer que les courtiers d’accès initiaux et les groupes de ransomware recommencent à utiliser des outils malveillants personnalisés qu’ils ont développés en interne, au lieu de se contenter d’exploiter les ressources existantes (« living-off-the-land ») et de recourir à des outils d’administration système à double usage. Le rapport de Symantec comprend une liste d'indicateurs de compromission relatifs à cette nouvelle porte dérobée, ainsi qu'à d'autres fichiers malveillants et adresses IP utilisés lors des récentes attaques « Woodgnat ».