Colibri Loader Malware Detection: Unusual Persistence Using PowerShell

[post-views]
avril 07, 2022 · 4 min de lecture
Colibri Loader Malware Detection: Unusual Persistence Using PowerShell

Un chargeur de malware Colibri qui est apparu il n’y a pas si longtemps – en août 2021, a été récemment découvert livrant des charges utiles Vidar dans une nouvelle campagne en cours de Colibri Loader. Les chercheurs indiquent que Colibri utilise une technique de persistance inhabituelle qui n’a pas encore été suivie jusqu’à présent. La fonctionnalité mise à jour motive les adversaires à continuer à vendre leur nouvelle création de malware à d’autres cybercriminels qui recherchent des moyens peu conventionnels et difficiles à détecter pour établir et maintenir la persistance.

Continuez à lire pour en savoir plus sur le parcours de Colibri Loader et découvrez notre dernier contenu de détection spécialement conçu pour cette dernière version du malware.

Campagne Colibri Loader: Comment détecter

Vous pouvez essayer de détecter le malware Colibri Loader avec l’aide de notre nouvelle règle basée sur Sigmacréée par notre développeur Threat Bounty Kaan Yeniyol. Cette règle est spécifiquement ciblée pour détecter la méthode de persistance la plus récente exploitée par les acteurs de la menace et aborder la technique de la tâche/programme planifié (T1053) du cadre MITRE ATT&CK developer Kaan Yeniyol. This rule is specifically targeted at detecting the newest persistence method leveraged by threat actors and addressing the Scheduled Task/Job (T1053) technique from the MITRE ATT&CK® .

Persistance suspecte de Colibri Loader par PowerShell créant une tâche planifiée (via la sécurité)

Pour suivre nos dernières détections concernant Colibri Loader et les malwares associés à des attaques similaires, vous pouvez utiliser les fonctionnalités de notre recherche avancée. Il suffit de cliquer sur le bouton Voir les détections, de vous connecter à votre compte et de personnaliser vos critères de recherche de la manière qui vous convient le mieux. Et si vous êtes un professionnel établi dans la chasse aux menaces et la détection des menaces, vous pouvez contribuer à notre initiative mondiale de crowdsourcing et monétiser en créant vos propres détections

Voir les détections Rejoindre Threat Bounty

Analyse de malware Colibri Loader

La version initiale de Colibri Loader qui a été créée l’été dernier, livrait un fichier EXE avec un code auto-modifiant via des fichiers trojanisés. Dans une campagne en cours, la chaîne d’attaque commence également par un document Word infecté qui lance l’opération d’un bot Colibri et établit une tactique de persistance inhabituelle. Pendant ce temps, Vidar Stealer est responsable du reste de la mission malveillante sur l’ordinateur de la victime.

Les campagnes précédentes ont établi une connexion avec le serveur C2 en téléchargeant une charge utile correspondante /gate.php puis en envoyant une requête HTTP GET en appelant la fonction HttpSendRequestW. Dans cette nouvelle variante de la charge utile de Colibri Loader, l’attaque commence par l’initiation d’une injection de modèle à distance. Le document infecté communique avec un serveur distant pour télécharger un modèle DOT qui contacte ensuite la macro malveillante. Cette dernière, à son tour, active PowerShell pour télécharger un fichier EXE contenant la charge utile finale de Colibri.

Une particularité de l’exploitation de PowerShell dans cette campagne est qu’elle est utilisée de manière assez unique pour maintenir la persistance de la machine infectée. Il vaut la peine de mentionner que Colibri Loader a différentes versions de ses exécutables qui permettent la persistance pour différentes versions de Windows : une pour 10 et 11, et une autre pour les versions plus anciennes (Windows 7 et 8). Les emplacements pour déposer ces fichiers varient également. Pourtant, en général, ces fichiers malveillants fonctionnent en se faisant passer pour des cmdlets légitimes de PowerShell. Par exemple, un fichier malveillant appelé Get-Variable.exe déposé dans le répertoire WindowsApps (chemin natif pour l’exécution de PowerShell) coïncide avec le cmdlet Get-Variable similaire normalement utilisé dans PowerShell. En conséquence, le binaire malveillant s’exécute à la place de la commande normale.

Les chercheurs ont également remarqué l’exécution de PowerShell dans une fenêtre cachée qu’ils croient être une nouvelle fonctionnalité spécifique de ce dernier vecteur d’attaque exploité par Colibri. Le fait qu’elle soit nouvelle et pas encore suffisamment étudiée par les analystes de sécurité facilite le processus de popularisation de Colibri Loader sur les marchés noirs du cyber. Adapter continuellement les défenses en matière de cybersécurité pour surpasser les adversaires peut sembler difficile, mais cela peut devenir plus efficace en tirant parti d’une défense collaborative. Rejoignez la plateforme Detection as Code de SOC Prime et obtenez un accès instantané au pool mondial de contenu de détection qui est constamment mis à jour pour résister aux menaces émergentes.

 

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Accéder aux fonctionnalités d’Uncoder AI via l’API 2 min de lecture Plateforme SOC Prime Accéder aux fonctionnalités d’Uncoder AI via l’API by Steven Edwards Rechercher sur la place de marché de détection des menaces d’Uncoder AI 2 min de lecture Plateforme SOC Prime Rechercher sur la place de marché de détection des menaces d’Uncoder AI by Steven Edwards Traduire depuis Sigma en 48 langues 2 min de lecture Plateforme SOC Prime Traduire depuis Sigma en 48 langues by Steven Edwards
Toutes les actualités