BendyBear

Par GoldSparrow en Malware

Se traduisent par :

Une nouvelle menace malveillante hautement sophistiquée a été détectée par les chercheurs de Palo Alto Networks. La menace a été nommée BendyBear car il existe des liens étroits entre elle et WaterBear, un logiciel malveillant modulaire utilisé dans une campagne d'attaque en cours depuis au moins 2009. Bien que WaterBear ait été classé comme un implant avec un large éventail de fonctionnalités menaçantes comme la manipulation et l'exfiltration de fichiers, l'accès au shell, la capture d'écran, etc., il n'est même pas proche des capacités de BendyBear.

Les chercheurs d'Infosec qui ont analysé BendyBear le décrivent comme le malware chinois le plus sophistiqué qui ait été créé jusqu'à présent. Ils attribuent également la publication de la menace de malware au groupe de cyberespionnage BlackTech qui a mené des campagnes d'attaque contre des entités technologiques et des agences gouvernementales en Asie de l'Est.

Lorsqu'il est déployé sur l'ordinateur de la cible, BendyBear agit comme un implant de stade zéro chargé de fournir une charge utile plus robuste et de la prochaine étape. En tant que tel, le but des attaquants est de garder la menace aussi cachée que possible. Cela peut sembler contre-intuitif alors qu'avec plus de 10 000 octets de code machine, BendyBear est considérablement plus grand que les autres menaces du même type. La plus grande taille, cependant, a permis aux pirates informatiques d'emballer leur outil de malware avec une pléthore de techniques complexes d'évitement de détection et d'anti-analyse.

Fonctionnalités sophistiquées de furtivité et de détection-évasion

La menace possède une structure hautement malléable. Il vérifie tout signe d'outils anti-débogage et tente d'éviter la détection statique par le biais d'un code indépendant de la position. Chaque session de communication avec l'infrastructure Command-and-Control (C2, C&C) de la campagne est accompagnée de la génération d'une clé de session unique. Pour masquer le trafic anormal qu'il crée, BendyBear tente de se fondre dans le trafic réseau SSL normal en utilisant un port commun (443).

Pour le chiffrement, BendyBear utilise un chiffrement RC4 modifié. D'autres aspects uniques de la menace sont le code polymorphe qui lui permet de modifier son empreinte d'exécution pendant l'exécution du code et la possibilité d'effectuer une vérification du bloc de signature. Pour stocker ses données de configuration, BendyBear exploite une clé de registre déjà existante qui est activée par défaut dans les systèmes Windows 10. Pour minimiser davantage les traces qu'elle laisse, la menace charge les charges utiles de la prochaine étape dans la mémoire du système compromis directement sans les déposer sur le disque.

BendyBear est difficile à détecter de manière exceptionnelle et les organisations doivent rester vigilantes pour détecter l'attaque à ses débuts.

Rechercher

Changer de région

BendyBear

Soumettre un Commentaire

Tendance

Safe Search Eng

MarioLocker Ransomware

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran