Actualités

Turla : réminiscence du programme malicieux qui s’agrémente de “logiciels personnalisés” et d’une nouvelle version ! (mise à jour malveillante…)

Évoqué en Avril 2018 dans les détours sinueux de Snake (son autre nom, avec Uroboros, Krypton, Venomous Bear), autrement connu, aussi, sous le nom de Turla, le malware cyber-espion Turla a mis à jour certains de ses composants-logiciels ce qui lui a permis de modifier sa version d’origine.

 

 

Les chercheurs d’Accenture Cyber ​​Threat Intelligence ont identifié un compromis Turla d’une organisation gouvernementale européenne. Au cours de ce compromis, Turla a utilisé une combinaison de portes dérobées basées sur l’appel de procédure à distance (RPC), telles que HyperStack et des chevaux de Troie d’administration à distance (RAT), tels que Kazuar et Carbon, que les chercheurs de l’ACTI ont analysé entre Juin et Octobre 2020. Les RAT transmettent la commande. les résultats de l’exécution et exfiltrent les données du réseau de la victime tandis que les portes dérobées basées sur RPC utilisent le protocole RPC […] certaines de leurs portes dérobées actuelles utilisent un code qui date de 2005 […] le groupe de menaces continuera probablement à maintenir et à s’appuyer sur cet écosystème et ses itérations, tant que le groupe ciblera les réseaux Windows“, expliquent les chercheurs de l’équipe sécuritaire Accenture, dans un billet du 28 Octobre 2020.

L’attaque repose sur une palette d’outils Command-and-Control (C2) dont la variété s’est récemment mise à jour via de “nouvelles configurations” de ces outils de prédilections :

 

 

  • HyperStack : depuis un appel distant (RPC), la communication inter-processus (IPC) est exploitée pour court-circuité le partage donné-reçu pour injecter, diffuser, les commandes malveillantes (duplication possible de ces commandes, selon les chercheurs). Une version redoutablement “plus simple“, exploite le tube nommé sans aucun autre pré-requis vraisemblablement observé. En détail, HyperStack se concentrera à cibler une entrée (valeur) de registre pour s’instiller à l’endroit désiré. De là, l’API Windows ConnectNamedPipe recherchera toute connexion entrante en modifiant la technique du handshake : un nouveau fil d’exécution s’opère et des tubes – hexadécimales – à 8 octets sont recherchés pour être, ainsi, substitués. Un fichier de configuration (similaire à Carbon) est créée (backport.inf) pour faire la jointure avec une clé de chiffrement RSA PKCS et libérer les commandes ou instances dédiées, tout comme Carbon (cf. paragraphe relatif) ;

 

  • Kazuar : en exploitant l’URI (Uniform Resource Identifier ou Identifiant Uniforme de Ressource), selon les observations faites entre la mi-Septembre et Octobre 2020, l’accès distant par command-and-control serait une sorte “d’agent de transfert” pour cette partie de ping-pong diabolique sur laquelle repose le cyber-système Turla. Dans ou hors réseau avec le PC infecté, entre-autres, les URLs – depuis les “nœuds internes” – de certains sites (corrompus) sont utilisées pour orienter les commandes malveillantes distantes et, en finalité, ex-filtrer les données ciblées ;

  • Carbon, un outil peer-to-peer dont l’activité (revisitée) a été relevée en Juin 2020 : des sites Web (malveillants) recèleraient des commandes sous Shell permettant d’ex-filtrer des données, tout comme Kazuar. Originalité par rapport à ce dernier : une URL – paramètre [RENDEZVOUS_POINT] – dirigeant vers Pastebin, “un objet blob chiffré est téléchargé qui nécessite une clé privée RSA correspondante du fichier de configuration“.

 

 

Pour l’heure, la seule sécurité sera l’apanage des administrateurs on responsables réseau, système : une vigilance est de mise sur ces évolutions de Turla ou Snake dont les indicateurs complets (logs SHA256) sont disponibles en fin du billet sécuritaire… A veiller !

 

 

Source : Blog Accenture – 28 Octobre 2020 – Turla (Snake) : mise à jour logicielle.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.6.3