More_eggs Malware
Le malware More_eggs est une menace de cheval de Troie de porte dérobée sophistiquée proposée dans le cadre d'un schéma MaaS (Malware-as-a-Service). On pense que le développeur de la menace est le groupe de hackers Golden Chickens et qu'ils ont pu attirer plusieurs grands groupes APT (Advanced Persistent Threat) en tant que clients, notamment FIN6, Evilnum et le groupe Cobalt. Les capacités malveillantes de More_eggs permettent à la menace de rester en grande partie non détectée tout en permettant au groupe de hackers particulier d'intensifier l'attaque en téléchargeant différentes charges utiles de logiciels malveillants en phase finale conformément à leurs objectifs spécifiques.
De faux e-mails d'offres d'emploi se répandent More_eggs Backdoor
Le vecteur de compromis initial dans les campagnes d'attaque more_eggs est généralement un e-mail ciblé de spear-phishing qui contient une pièce jointe armée. La dernière opération impliquant cette menace de porte dérobée a été découverte par l'équipe de recherche d'eSentire. Selon leurs conclusions, un groupe de hackers non identifié à ce jour a commencé à cibler des employés de haut rang avec de fausses offres d'emploi. Le fichier zip malveillant joint à l'e-mail est nommé d'après une position de poste prise à partir du profil LinkedIn de la cible spécifique. Par exemple, si le poste de l'utilisateur choisi est répertorié comme Senior Product Manager sur LinkedIn, le fichier zip prendrait le libellé exact et y ajouterait «position» - «Senior Product Manager - position». L'ouverture de l'archive lance le processus d'installation du cheval de Troie more_eggs sans fichier.
Chaîne d'attaque
Le processus d'installation de more_eggs passe par plusieurs étapes et plusieurs chargeurs intermédiaires. Dans un premier temps, en interagissant avec le fichier livré via l'e-mail de spearphishing, la victime exécute VenomLNK, une étape initiale du cheval de Troie more_eggs. VenomLNK abuse de Windows Management Instrumentation pour activer le chargeur de plug-in de la prochaine étape nommé TerraLoader. À son tour, TerraLoader détourne les processus Windows légitimes cmstp et regsvr32 . Pour masquer les activités néfastes qui se déroulent en arrière-plan, à ce stade, la menace présente à sa victime un document Word leurre conçu pour apparaître comme une application de travail légitime. Pendant ce temps, TerraLoader poursuit ses tâches en installant msxsl dans le profil itinérant de l'utilisateur ciblé et charge une nouvelle charge utile nommée TerraPreter à partir d'un fichier de contrôle ActiveX extrait d'Amazon Web Services.
La prochaine étape de l'attaque voit la charge utile TerraPreter nouvellement établie commencer à être signalée à un serveur de commande et de contrôle (C2, C&C) via la copie militarisée de mxsxl . La balise avertit l'acteur de la menace que more_eggs est entièrement établi sur le système de la victime et est prêt à continuer. Les pirates peuvent alors ordonner à la menace de télécharger et d'exécuter des charges utiles de fin de phase telles que les ransomwares et les infostealers ou de commencer à exfiltrer les données sensibles des utilisateurs.
Campagnes More_eggs précédentes
Les techniques de détection-évitement de more_eggs telles que l'exploitation de processus Windows natifs associés à des fonctionnalités polyvalentes ont aidé Golden Chickens à attirer plusieurs groupes de pirates ATP en tant que clients. Les chercheurs d'Infosec ont vu la menace de porte dérobée utilisée par FIN6, Evilnum et le groupe Cobalt. Bien que tous les trois puissent être décrits comme ciblant des entreprises du secteur financier, leurs opérations sont assez différentes. FIN6 s'est spécialisé dans le vol de données de cartes de paiement qui sont ensuite vendues sur des plateformes commerciales souterraines. Leurs principales cibles sont les appareils POS (point de vente) et les entreprises de commerce électronique. Evilnum, en revanche, s'attaque aux sociétés de technologie financière et aux fournisseurs de plateformes de négociation d'actions. Ils ciblent les informations privées sensibles sur l'entreprise infiltrée et ses clients en volant des feuilles de calcul, des listes de clients, des opérations de trading et des informations d'identification de compte. Cobalt Group cible également les sociétés financières et a jusqu'à présent utilisé more_eggs dans plusieurs opérations.