Logiciel malveillant RustyBuer

Découvert par des chercheurs en sécurité, RustyBuer est une nouvelle version du chargeur de logiciels malveillants Buer. La menace d'origine a été observée pour la première fois en 2019 lorsqu'elle a été mise en vente sur des forums de hackers clandestins. Buer agit comme une charge utile initiale qui établit un point d'ancrage sur le système ciblé et procède à l'escalade de l'attaque avec la livraison de menaces de logiciels malveillants de prochaine étape. La version la plus récente conserve les mêmes fonctionnalités, le principal facteur de différenciation étant qu'elle est écrite dans le langage de programmation Rust.

La recréation des menaces de logiciels malveillants existantes à l'aide de langages de programmation plus récents et moins établis est une tendance relativement récente parmi les cybercriminels. Cela leur permet d'éviter les solutions de sécurité anti-malware basées sur des signatures qui peuvent facilement détecter les versions originales des menaces. Dans le même temps, cela réduit considérablement le temps nécessaire pour libérer la menace, par rapport à l'alternative consistant à créer un tout nouveau malware.

Chaîne d'attaque de RustyBuer

Dans la série d'attaques impliquant le malware RustyBuer, les acteurs de la menace ont diffusé des e-mails leurres prétendant provenir de la société de logistique internationale DHL. Pour ajouter plus de légitimité aux faux mails, les pirates ont inclus les logos de plusieurs fournisseurs de cybersécurité. Le texte des faux e-mails demande à la victime ciblée d'ouvrir le fichier joint, généralement un document Word ou Excel armé. Le fichier corrompu contient une macro délivrant la menace RustyBuer sur le système. Pour éviter la détection par les solutions de sécurité des terminaux, la macro utilise un contournement d'application.

Une fois à l'intérieur de l'appareil de la victime, RustyBuer vérifie l'environnement à la recherche de signes de virtualisation. Ensuite, il effectue une vérification de géolocalisation pour déterminer si l'utilisateur est originaire d'un pays spécifique de la CEI (Commonwealth of Independent States) et si une correspondance est trouvée, le malware met fin à son exécution. RustyBuer établit également un mécanisme de persistance via un fichier LNK qui est lancé à chaque démarrage du système.

Charges utiles de la prochaine étape

L'analyse des récentes campagnes d'attaque déployant RustyBuer a révélé que la menace est principalement cohérente avec le comportement précédemment observé à Buer - les acteurs de la menace ont laissé tomber une balise Cobalt Strike sur les systèmes violés. Cobalt Strike est un outil de test d'intrusion légitime qui est assez souvent exploité par les acteurs de la menace qui l'intègrent dans leurs opérations menaçantes.

Cependant, dans certains cas, après l'installation de RustyBuer sur les systèmes, les acteurs de la menace n'ont pas fait escalader l'acteur et aucune charge utile de deuxième étape n'a été détectée. Les chercheurs pensent qu'il s'agit d'un signe que les acteurs de la menace tentent d'exploiter un système d'accès en tant que service proposant de vendre l'accès post-infection aux systèmes à d'autres groupes de cybercriminels.

Il est également à noter que l'existence d'une liste de pays restreints de la région CEI indique que les opérateurs de RustyBuer pourraient potentiellement avoir des liens avec la Russie.