Des chercheurs en cybersécurité ont révélé les détails d'une nouvelle campagne appelée OMBRE#RÉACTEUR qui utilise une chaîne d'attaque évasive en plusieurs étapes pour fournir un outil d'administration à distance disponible dans le commerce appelé Remcos RAT et établir un accès à distance persistant et secret.
“La chaîne d'infection suit un chemin d'exécution étroitement orchestré : un lanceur VBS obscurci exécuté via wscript.exe invoque un téléchargeur PowerShell, qui récupère des charges utiles fragmentées basées sur du texte à partir d'un hôte distant”, ont déclaré les chercheurs de Securonix Akshay Gaikwad, Shikha Sangwan et Aaron Beardslee dans un livre blanc partagé avec The Hacker News.
“Ces fragments sont reconstruits dans des chargeurs cryptés, décodés en mémoire à l'aide d'un assemblage protégé par .NET Reactor et utilisés pour récupérer et appliquer une configuration Remcos distante. La dernière étape exploite MSBuild.exe en tant que binaire vivant hors de la terre (LOLBin) pour terminer l'exécution, après quoi la porte dérobée Remcos RAT est entièrement déployée et prend le contrôle du système compromis. “
L'activité est considérée comme vaste et opportuniste et s'adresse principalement aux entreprises et aux petites et moyennes entreprises. Les outils et le savoir-faire s'alignent sur les intermédiaires de premier accès typiques, qui prennent pied dans les environnements cibles et les vendent à d'autres acteurs pour obtenir un gain financier. Cela dit, il n’existe aucune preuve l’attribuant à un groupe menaçant connu.
L'aspect le plus inhabituel de la campagne est le recours à des étapes intermédiaires composées uniquement de texte, ainsi que l'utilisation de PowerShell pour la reconstruction en mémoire et d'un chargeur réfléchissant protégé par .NET Reactor, pour décompresser les phases ultérieures de l'attaque afin de compliquer les efforts de détection et d'analyse.
La séquence d'infection commence par la récupération et l'exécution d'un script Visual Basic obscurci (« win64.vbs ») qui est probablement activé par l'interaction de l'utilisateur, par exemple en cliquant sur un lien fourni via des leurres socialement conçus. Le script, qui s'exécute à l'aide de “wscript.exe”, fonctionne comme un lanceur léger pour une charge utile PowerShell codée en Base64.
Le script PowerShell utilise ensuite System.Net.WebClient pour communiquer avec le même serveur que celui utilisé pour récupérer le fichier VBS et placer une charge utile textuelle appelée « qpwoe64.txt » (ou « qpwoe32.txt » pour les systèmes 32 bits) dans le répertoire %TEMP% de la machine.
“Le script entre ensuite dans une boucle où il valide l'existence et la taille du fichier”, explique Securonix. “Si le fichier est manquant ou inférieur au seuil de longueur configuré (minLength), le scénario suspend l'exécution et télécharge à nouveau le contenu. Si le seuil n'est pas atteint dans le délai d'expiration défini (maxWait), l'exécution continue sans se terminer, évitant ainsi les défaillances de la chaîne. “
“Ce mécanisme garantit que les fragments de charge utile incomplets ou corrompus n'interrompent pas immédiatement l'exécution, renforçant ainsi la conception d'auto-réparation de la campagne.”
Si le fichier texte répond aux critères pertinents, il crée un deuxième script PowerShell secondaire (« jdywa.ps1 ») dans le répertoire %TEMP%, qui appelle un chargeur de réacteur .NET chargé d'établir la persistance, de récupérer le malware de l'étape suivante et d'incorporer diverses vérifications anti-débogage et anti-VM pour ne pas être détecté.
Finalement, le chargeur lance le malware Remcos RAT sur l'hôte compromis à l'aide d'un processus Microsoft Windows légitime, « MSBuild.exe ». Les scripts d'exécution permettant de réactiver l'exécution de « win64.vbs » à l'aide de « wscript.exe » ont également été supprimés au cours de l'attaque.
“Ensemble, ces comportements indiquent un cadre de charge utile modulaire et activement maintenu, conçu pour garder la charge utile Remcos portable, robuste et difficile à classer statiquement”, ont noté les chercheurs. “La combinaison de courtiers en texte uniquement, de chargeurs .NET Reactor en mémoire et d'abus de LOLBin reflète une stratégie délibérée visant à contrecarrer les signatures antivirus, les bacs à sable et le tri rapide des analystes.”