Le rootkit Purple Fox acquiert désormais des capacités de propagation de ver

[post-views]
avril 02, 2021 · 4 min de lecture
Le rootkit Purple Fox acquiert désormais des capacités de propagation de ver

Les analystes en sécurité de Guardicore Labs ont récemment détecté une nouvelle variante du tristement célèbre rootkit Purple Fox, qui se propage désormais comme un ver sur les machines Windows. Cette dernière mise à jour du logiciel malveillant entraîne une augmentation significative des infections par Purple Fox, montrant une augmentation de 600 % depuis le printemps 2020. Cette campagne en cours repose fortement sur le balayage de ports et des services SMB mal sécurisés, soulignant le passage de l’opérateur du logiciel malveillant des fonctions de kit d’exploitation.

Présentation du Rootkit Purple Fox

Purple Fox est un téléchargeur de logiciel malveillant sans fichier, renforcé par des capacités de rootkit et de porte dérobée. Depuis son apparition en 2018, la menace a été activement utilisée par des adversaires pour livrer divers chevaux de Troie, cryptomineurs, souches de vol d’informations et échantillons de ransomware.

Initialement, le logiciel malveillant reposait principalement sur des exploits Microsoft bien connus (CVE-2020-0674, CVE-2019-1458, CVE-2018-8120, CVE-2015-1701) et des emails d’hameçonnage pour la livraison de logiciels malveillants. Cependant, en mai 2020, Purple Fox a acquis des capacités de type ver pour infecter des instances sans aucune interaction de l’utilisateur ou outils supplémentaires. Il peut maintenant se propager à travers les systèmes Windows via la force brute SMB et infecter rapidement des milliers d’appareils.

Une fois infecté, le logiciel malveillant utilise son module rootkit pour masquer l’activité malveillante, dépose des logiciels malveillants supplémentaires sur l’hôte et poursuit ses tentatives de force brute. Les Guardicore Labs rapport estime que les opérateurs de Purple Fox ont réalisé plus de 90 000 attaques réussies en mars 2021.

Nouvelle Chaîne d’Attaque Kill Chain

La chaîne d’infection commence traditionnellement par un email d’hameçonnage délivrant une nouvelle souche de Purple Fox de type ver, déguisée en paquet de mise à jour Windows. Si les utilisateurs sont dupés pour lancer l’exécutable joint, un installateur MSI dédié télécharge trois charges utiles depuis un serveur Windows compromis pour réaliser des fonctions d’évasion, de balayage de port et de persistance. Une fois l’exécution du code réalisée sur l’hôte compromis, le logiciel malveillant bloque les ports 445, 139, 135 pour éviter la réinfection, génère des gammes d’IP, et commence des balayages de port 445 pour identifier les appareils vulnérables avec des services SMB exposés à internet. Si détecté, Purple Fox effectue une attaque par force brute SMB pour infecter de nouveaux appareils et se propager davantage.

Notamment, des chercheurs en sécurité ont identifié près de 3 000 serveurs Microsoft compromis par Purple Fox pour héberger ses téléchargeurs et exécutables malveillants. La plupart des serveurs exécutent une version obsolète de IIS 7.5 et Microsoft FTP qui auraient de multiples failles de sécurité.

Détection de Purple Fox

Pour se défendre contre la nouvelle version du logiciel malveillant Purple Fox, vous pouvez télécharger une règle Sigma communautaire développée par notre enthousiaste développeur pour le programme Threat Bounty Osman Demir

https://tdm.socprime.com/tdm/info/kFqJgcTCHaf3/Nh_KiHgBFLC5HdFVUJe4

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK :

Tactiques : Persistance, Escalade de Privilèges

Techniques : Nouveau Service (T1050)

Abonnez-vous au Threat Detection Marketplace, une plateforme leader mondiale de détection en tant que code capable de renforcer vos capacités de défense cybernétique. Notre bibliothèque de contenu SOC contient plus de 100 000 règles de détection et de réponse, analyseurs, requêtes de recherche, et autres contenus mappés aux cadres CVE et MITRE ATT&CK® pour vous permettre de résister au nombre croissant de cyberattaques. Surveiller de près les dernières tendances en cybersécurité et voulez participer à des activités de chasse aux menaces ? Rejoignez notre programme Threat Bounty !

Aller à la Plateforme Rejoindre Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Blog, Plateforme SOC Prime — 3 min de lecture
Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Steven Edwards
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Blog, Dernières Menaces — 5 min de lecture
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Veronika Telychko