HyperStack Backdoor

HyperStack Backdoor est une menace dont les attaques ont été observées pour la première fois en 2018. Le développement et l'utilisation de HyperStack Backdoor sont attribués à Turla APT, une organisation de piratage qui opère depuis la Russie. Le nom de Turla est associé à un grand nombre d'attaques contre des cibles de premier plan, et HyperStack Backdoor n'est que l'un des nombreux outils de piratage de leur kit. Le groupe réutilise régulièrement d'anciens logiciels malveillants et s'assure également d'introduire des mises à jour régulières de leurs anciennes charges utiles. Par exemple, HyperStack Backdoor a subi plusieurs mises à jour et des modifications de fonctionnalités depuis sa première observation en 2018.

La HyperStack Backdoor est contrôlée en abusant du service Windows d'appel de procédure distante (RPC). En plus de cela, un implant HyperStack actif peut essayer de se connecter aux partages IPC $ d'autres appareils sur le même réseau, lui permettant ainsi de se propager latéralement. Le malware stocke des journaux détaillés concernant les erreurs et les résultats de l'exécution de la commande. Un chercheur en cybersécurité a également découvert un module de nettoyage qui permet à HyperStack Backdoor de rechercher des fichiers journaux avec le préfixe "-X'' - ils pensent que cette fonctionnalité est destinée à supprimer les traces d'un implant de malware inconnu. L'une des campagnes les plus impressionnantes d'utilisation de l'HyperStack Backdoor a été menée contre une organisation suisse de cyberdéfense.

Alors que la HyperStack Backdoor ne brille pas avec de grandes fonctionnalités. C'est plus que suffisant pour répondre aux besoins des membres de Turla. Inutile de dire que l'abus du protocole RPC et des partages IPC $ est certainement impressionnant et prouve une fois de plus l'expérience et l'expertise de Turla.