Logiciel malveillant BlackSoul

Un nouveau tracas de malware RAT (Remote Access Trojan) a été détecté en cours de déploiement via ce que l'on pense être une campagne de spear-phishing ciblant des entités gouvernementales. Le malware a été nommé BlackSoul par les chercheurs d'Infosec qui ont détecté l'opération. En raison des similitudes dans le code de l'outil malveillant et dans l'ensemble des TTP (techniques, tactiques et procédures) de la campagne, les experts ont déterminé que les acteurs de la menace les plus probablement responsables sont le groupe de hackers ReconHellcat.

L'attaque commence par un faux e-mail de leurre contenant une archive CAB compromise. L'archive et le fichier qu'elle contient ont un nom identique - «1-10-22-hb44_final». L'implication est que la pièce jointe est un document de l'Institut national des normes et de la technologie (NIST), qui pourrait être une information d'intérêt pour les personnes ciblées.

Le fichier exécutable contenu dans l'archive porte le chargeur de premier niveau. Le malware est équipé de techniques d'obfuscation qui sont cohérentes avec les précédents outils de menace attribués au groupe ReconHellcat. Lors de l'établissement d'une connexion avec l'infrastructure Command-and-Control (C2, C&C), le chargeur récupère et affiche la charge utile finale sous la forme de deux nouveaux fichiers. Il tente également de masquer son activité en présentant à l'utilisateur cible une fenêtre Microsoft Word légitime avec le document légitime du site Web du NIST. Les deux fichiers déposés sur la machine compromise par le chargeur sont un exécutable nommé «blacksoul» et un fichier DLL nommé «blacksoulLib».

La charge utile BlackSoul elle-même est un RAT relativement simple avec un nombre limité de fonctions et de commandes actionnables. Il ne reconnaît que quatre commandes reçues des serveurs C2, mais elles sont largement suffisantes. BlackSoul peut exécuter des commandes arbitraires, récupérer des fichiers supplémentaires, les déposer sur le système infecté et en exfiltrer des fichiers. Pour éviter d'être détecté, le RAT a été équipé de plusieurs techniques d'obfuscation. Principalement, il construit des chaînes sur la pile de manière dynamique, puis utilise un certain nombre de mécanismes différents tels qu'un chiffrement XOR fixe et un chiffrement César en utilisant des valeurs de décalage variables pour les désobfusquer.

Quant au fichier de bibliothèque DLL, lorsqu'il est appelé par BlackSoul, il tente de collecter des données à partir des navigateurs Web Chrome, Firefox et Opera. Si ces données ne peuvent pas être obtenues, le programme met fin prématurément à son fonctionnement. Il facilite également la connexion initiale aux serveurs C2 en décodant l'URL C2 et l'URL Cloudflare DNS-over-HTTPS (DoH). De plus, il génère les informations de connexion nécessaires et renvoie les données collectées au BlackSoul Malware au format JSON.

ReconHellcat semble suivre son modèle de lancement de campagnes d'attaque contre les organisations gouvernementales. Lors d'opérations précédentes, les pirates informatiques ont été documentés, tentant d'infiltrer les organisations diplomatiques et les organismes gouvernementaux de défense.