RAT MINEBRIDGE

Les attaques ciblant les chercheurs en sécurité semblent gagner en popularité parmi les cybercriminels. Un groupe menaçant qui aurait commencé à mener de telles attaques est le TA505. Les preuves indiquent que TA505 est actif depuis au moins 2014. Le groupe est connu pour exploiter le MINEBRIDGE RAT dans ses opérations.

La dernière campagne utilise une chaîne d'attaque en plusieurs étapes qui déploie finalement le MINEBRIDGE RAT sur le système informatique ciblé. Les hackers attirent leurs victimes avec de faux CV (CV) sous la forme de documents Word basés sur des macros. Une fois exécuté, le fichier malveillant affiche un message de confirmation - «Fichier converti avec succès à partir du PDF» et affiche un CV de travail qui a été censément envoyé par un analyste du renseignement sur les menaces. Il ne s'agit que d'un leurre, cependant, conçu pour attirer l'attention de la victime loin du code de macro sous-jacent qui construit une ligne de commande en arrière-plan capable de récupérer le contenu codé à partir d'une adresse IP spécifiée. L'archive à extraction automatique téléchargée (SFX) sera déposée dans le dossier% appdata% de l'utilisateur.

Une attaque complexe en plusieurs étapes produit un MINEBRIDGE RAT

Le fichier SFX représente la première étape de la chaîne d'attaque MINEBRIDGE RAT. Il est exécuté via certutil.exe et entraîne le dépôt de fichiers binaires TeamViewer légitimes, de plusieurs fichiers DLL et de fichiers de documents supplémentaires sur le système compromis. L'un des binaires livrés nommé «defrender.exe» est chargé de lancer la prochaine étape de l'attaque. Il faut noter que le binaire est conçu pour apparaître comme un binaire Windows Defender légitime.

L'étape 2 de l'attaque comprend l'exécution de l'application TeamViewer qui est ensuite forcée d'effectuer un chargement côté DLL. Il charge le fichier msi.dll fourni qui à son tour décompresse le shellcode et l'exécute. Le shellcode est chargé de fournir le binaire UPX de la charge utile finale - MINEBRIDGE RAT.

Lorsqu'elle est pleinement déployée, la menace permet aux attaquants de mener un large éventail d'activités malveillantes. Ils peuvent espionner les utilisateurs compromis et déployer des charges utiles de logiciels malveillants supplémentaires. MINEBRIDGE RAT crée trois menaces distinctes, chacune chargée d'une responsabilité différente:

Établissement de la communication C&C et déploiement du mécanisme de persistance
Vérification de l'état d'inactivité du système en surveillant la synchronisation de la dernière entrée
Éviter les fenêtres contextuelles de notification accidentelles en supprimant le processus ShowNotificationDialog

Le mécanisme de persistance de la menace est obtenu via un fichier LNK nommé «Windows Logon.lnk» qui est déposé dans le répertoire de démarrage du système.