MoDi RAT

Une nouvelle campagne d'attaque délivrant le cheval de Troie d'accès à distance MoDi RAT a été détectée par des experts en cybersécurité. La menace possède toutes les fonctionnalités menaçantes attendues d'un RAT. MoDi RAT donne aux attaquants un accès à distance à l'ordinateur infecté. Cela permet aux pirates d'exécuter des commandes arbitraires, de manipuler le système de fichiers, d'exfiltrer les informations d'intérêt collectées à partir du périphérique compromis ou de fournir des charges utiles menaçantes supplémentaires.

MoDi RAT peut également tenter de se connecter à des serveurs de commande et de contrôle supplémentaires (C2, C&C), ce qui signifie que tous les fichiers ou données privées qui ont été récoltés peuvent ensuite être transmis et téléchargés sur plusieurs serveurs externes. Les données collectées peuvent inclure des informations détaillées sur l'hôte et le système, des identifiants de connexion sensibles, ainsi que des détails financiers.

Cependant, les aspects les plus intéressants découverts par les chercheurs d'Infosec n'étaient pas liés à la menace elle-même mais à la méthode par laquelle MoDi RAT a été livré.

Une chaîne d'attaque alambiquée laisse tomber MoDi RAT

Avant que la charge utile finale constituée de MoDi RAT ne soit établie sur le système compromis, l'attaque passe par plusieurs étapes et implique quelques astuces astucieuses conçues pour éviter la détection. Le vecteur d'attaque initial est très probablement une campagne d'e-mails de spam diffusant des e-mails contenant des pièces jointes corrompues. Lorsque l'utilisateur exécute la pièce jointe à l'e-mail, il déclenche un script Visual Basic qui se connecte à un site distant servant de point d'entrée pour plusieurs redirections HTTP 302 avant d'arriver finalement à un fichier d'archive .ZIP hébergé sur OneDrive. L'archive contient un fichier VBS (VBE) codé.

Pendant ce temps, le script VBS initial dépose un deuxième fichier VBS dans le système de fichiers et injecte trois entrées d'objets blob de données dans le registre Windows qui sont utilisées dans les étapes suivantes de l'attaque. Après cela, il procède à la création d'une tâche planifiée responsable de l'exécution du script VBS à un moment prédéterminé dans le futur. Le code VBS, à son tour, lance PowerShell et insère les commandes nécessaires dans le presse-papiers du système. La menace délivre ensuite les commandes à la fenêtre PowerShell via la commande VBS SendKeys par programme. Cette technique évite de générer une instance PowerShell contenant des paramètres de ligne de commande inhabituels qui pourraient être détectés par les produits de sécurité.

Phase d'attaque sans fichier

Le reste des actions menaçantes est totalement sans fichier. Les étapes impliquent que PowerShell extrait un exécutable de décodeur .NET à partir des objets blob du Registre et l'injecte dans un processus système. Le décodeur extrait ensuite un injecteur .NET et des blobs de charge utile. Dans cette phase, l'injecteur procède au chargement de la charge utile en l'insérant dans l'application msbuild.exe.

Il est à noter que plusieurs chaînes, le nom du fichier ZIP initial (Timbres-electroniques), ainsi qu'une des clés de registre (Entreur), sont tous des mots d'origine française. Il n'est peut-être pas surprenant que parmi les cibles détectées du MoDi RAT se trouvent plusieurs entreprises françaises.