Détection du Malware DarkGate : Les Adversaires Exploitent des Fichiers Microsoft Excel pour Diffuser un Logiciel Malveillant
Table des matières :
Les défenseurs ont observé une campagne de logiciels malveillants DarkGate dans laquelle les adversaires ont exploité des fichiers Microsoft Excel pour diffuser des échantillons malveillants à partir de partages de fichiers SMB accessibles au public. DarkGate représente une souche malveillante hautement adaptable, susceptible de combler le vide laissé par le démantèlement du tristement célèbre QakBot à la fin de l’été 2023.
Détection du logiciel malveillant DarkGate
Les cyberattaques ont explosé à l’échelle mondiale en 2024, les organisations subissant en moyenne 1 308 attaques par semaine au T1. Cela représente une augmentation de 28 % par rapport au T4 2023 et une augmentation de 5 % par rapport à la même période de l’année précédente. Avec la surface d’attaque en constante expansion et la sophistication continue des méthodes d’infection, la détection proactive des intrusions possibles devient une tâche complexe.
Pour rester à la pointe des menaces émergentes et détecter les attaques aux premiers stades de développement, les professionnels de la sécurité peuvent se tourner vers l’ensemble complet de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la validation des piles de détection.
Cliquez sur le bouton Explorer la détection ci-dessous pour accéder à la pile de détection organisée visant la détection du logiciel malveillant DarkGate. Toutes les règles sont compatibles avec plus de 30 technologies SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK®. De plus, les détections sont enrichies de métadonnées complètes, y compris des références CTI, des chronologies d’attaques, des recommandations de triage et d’autres détails pertinents pour simplifier l’investigation des menaces.
Analyse du logiciel malveillant DarkGate
DarkGate est une famille de logiciels malveillants qui a émergé sur la scène des cybermenaces en 2018. À l’origine, le logiciel malveillant fonctionnait avec une infrastructure C2 avancée, évoluant ensuite en une offre de logiciels malveillants en tant que service (MaaS).
DarkGate est resté discret jusqu’en 2021. Les chercheurs de Palo Alto Networks Unit 42 ont observé une augmentation importante de l’activité de DarkGate début de l’automne 2023, peu après la perturbation et le démantèlement gouvernemental multinational de l’ QakBot infrastructure. Les campagnes de DarkGate ont délaissé AutoIt au profit de scripts AutoHotkey pour propager les logiciels malveillants. Au tournant de 2024, DarkGate a lancé sa sixième version majeure avec des capacités plus sophistiquées.
Depuis août 2023, les défenseurs ont observé une série de campagnes malveillantes distribuant le logiciel malveillant DarkGate via diverses méthodes, y compris tromper les victimes pour qu’elles téléchargent l’installateur DarkGate via des liens Teams, en abusant des pièces jointes d’email et PDF armées avec des liens vers des archives ZIP nuisibles, en utilisant le chargement latéral de DLL, en exploitant des fichiers HTML et en utilisant des annonces nuisibles conçues pour propager des logiciels malveillants.
Au printemps 2024, l’équipe de Unit 42 a observé une nouvelle campagne offensive armant Microsoft Excel et exploitant des serveurs avec des partages de fichiers Samba ouverts pour héberger des fichiers utilisés pour propager le logiciel malveillant DarkGate. Initialement ciblée sur les États-Unis, la campagne s’est progressivement étendue à l’Europe et à certaines régions de l’Asie. La chaîne d’infection commence par cliquer sur un objet hyperlié pour le bouton Ouvrir dans le fichier Excel, qui récupère et exécute le contenu d’une URL située dans l’archive. Cette URL mène à un partage Samba/SMB accessible au public hébergeant un fichier VBS. Au fur et à mesure que l’attaque progressait, les adversaires ont également commencé à distribuer des fichiers JS depuis les partages Samba armés.
Notamment, les scripts PowerShell utilisés tout au long du flux d’infection tentent une technique d’évasion de détection pour permettre aux adversaires de rester sous le radar. Le logiciel malveillant DarkGate vérifie également les données CPU et recherche d’autres programmes anti-malware sur le système ciblé. Il est capable d’entraver les mécanismes de détection et de désactiver les logiciels anti-malware. DarkGate, en avançant dans ses capacités, inclut dans sa dernière mise à jour un ensemble de nouveaux contrôles pour contourner les logiciels anti-malware, tels que Windows Defender et SentinelOne.
Les vecteurs d’attaque diversifiés de DarkGate et son évolution en un MaaS complet, l’avancement continu de son arsenal offensif et ses efforts croissants pour contourner les protocoles de sécurité modernes soulignent la nécessité de renforcer les défenses proactives pour prévenir les infections. Fiez-vous à la plateforme de SOC Prime pour une défense cyber collective basée sur le renseignement sur les menaces mondial, le crowdsourcing, le modèle zéro-confiance et l’IA pour identifier les intrusions de manière opportune et prévenir les cyberattaques à leurs stades les plus précoces.
