HIsoka Malware

Le logiciel malveillant Hisoka est une menace de porte dérobée déployée dans deux campagnes d'attaque distinctes ciblant les sociétés de transport et d'expédition du Koweït. Les acteurs de la menace ont utilisé Hisoka avec plusieurs autres menaces de logiciels malveillants sur mesure. Les hackers ont nommé leurs outils d'après des personnages de la populaire série manga et anime 'Hunter x Hunter' - Sakaboto, Hisoka, Gon, Killua et Netero.

La première fois que le logiciel malveillant Hisoka a été détecté, c'était lorsque le logiciel malveillant a été déposé sur un ordinateur appartenant à une organisation travaillant dans le secteur des transports et de l'expédition au Koweït. Le binaire corrompu s'appelait «inetinfo.sys» et portait une variante Hisoka version 0.8. Grâce à Hisoka, les acteurs de la menace ont déployé rapidement deux outils malveillants supplémentaires - Gon et EYE. Gon est une porte dérobée puissante qui permet aux pirates de télécharger et de télécharger des données, d'exécuter des commandes, d'ouvrir des connexions RDP (Remote Desktop Protocol), de prendre des captures d'écran, de rechercher des ports ouverts, etc. D'autre part, EYE est un outil de nettoyage pour toutes les connexions RDP établies par les criminels, car elles peuvent tuer les processus associés et éliminer tous les artefacts d'identification supplémentaires. La version 0.8 du logiciel malveillant Hisoka communiquait avec son infrastructure de commande et de contrôle (C2, C&C) via des tunnels HTTP et DNS.

Hisoka adopte une approche modulaire

Lors d'une campagne contre une autre organisation koweïtienne du même secteur industriel, les chercheurs d'Infosec ont détecté une nouvelle version d'Hisoka utilisée. La version 0.9 a été supprimée en tant que fichier nommé «netiso.sys». Par rapport aux précédentes itérations du malware, cette nouvelle version a montré un changement dans l'état d'esprit des criminels. Au lieu de regrouper toutes les fonctionnalités nuisibles dans une seule menace, ils essayaient maintenant d'adopter une approche plus modulaire en supprimant certaines fonctionnalités d'Hisoka et en les regroupant dans une menace de malware autonome appelée Netero. Le nouvel outil est intégré à Hisoka en tant que ressource nommée «msdtd» et peut être lancé si le besoin s'en fait sentir. En déléguant certains aspects à différents outils, les pirates pourraient tenter de minimiser leur empreinte sur la machine compromise et rendre la détection de leur outil plus difficile.

La version 0.9 comprenait également une gamme étendue de canaux de communication avec les serveurs C2 avec l'inclusion d'une capacité basée sur la messagerie électronique. Pour que cette méthode fonctionne, Hisoka exploite les services Web Exchange (EWS) et les informations d'identification détournées pour créer des e-mails enregistrés dans le dossier «Brouillons». Pour les commandes entrantes, la menace du logiciel malveillant recherche les e-mails avec le sujet «Projet». Dans le même temps, la communication sortante est effectuée par e-mail avec le sujet «Présent». Le corps de l'e-mail sortant contient un message chiffré et un fichier peut être joint si la commande appropriée 'upload_file' a été reçue.