EYE Malware
Le logiciel malveillant EYE est un outil de post-exploitation qui a été observé comme faisant partie de l'arsenal d'un groupe de hackers qui cible spécifiquement les compagnies de transport et d'expédition du Koweït. Dans les cas où le logiciel malveillant EYE a été détecté, il a été déployé après que les systèmes ciblés aient déjà été compromis par un autre logiciel malveillant appartenant à un groupe de pirates informatiques appelé Hisoka.
Le rôle du logiciel malveillant EYE dans les chaînes d'attaque était de nettoyer les traces laissées par les activités menaçantes des acteurs de la menace. En bref, il s'agit d'un périphérique à sécurité intégrée chargé de supprimer les artefacts d'identification laissés par des connexions RDP (Remote Desktop Protocol) non autorisées, ainsi que de mettre fin à tout processus créé par les attaquants.
Exécution ouverte, le logiciel malveillant EYE commence à rechercher toutes les tentatives de connexion entrantes, soit localement, soit par des sessions RDP à distance. Il répertorie également tous les processus créés après le lancement du logiciel malveillant EYE. Lorsqu'il détecte une connexion, le logiciel malveillant EYE écrit la chaîne unique "nous attendons votre patron !!!" à la console avant de procéder à l'activation de ses routines de nettoyage. Premièrement, la menace mettra fin à toutes les applications et outils ouverts par les pirates. Il passe ensuite à supprimer tous les fichiers de document récents en utilisant la liste de sauts via la commande:
Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Récent \\ * & Suppr / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Récent \\ AutomaticDestinations \\ * & Del / F / Q % APPDATA% \\ Microsoft \\ Windows \\ Récent \\ CustomDestinations \\ *
Le logiciel malveillant EYE extrait également certaines valeurs de clés de registre spécifiques et du fichier 'Default.rdp' pour supprimer tout signe potentiel concernant les activités de l'acteur de la menace sur la machine compromise. Les registres ciblés par le malware sont:
- Logiciel \\ Microsoft \\ Terminal Server Client \\ Par défaut
- LOGICIEL \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ WordWheelQuery
- LOGICIEL \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ TYPEDPATHS
- Logiciel \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ RunMRU
Enfin, comme dernière étape de sa programmation, le logiciel malveillant EYE tentera de se retirer du système ciblé en exécutant la commande taskkill / f / im & choice / CY / N / DY / T 3 & Del ' >. '
