Vyveva : Nouveau malware personnalisé dans la boîte à outils Lazarus
Table des matières :
Des experts d’ESET ont découvert un nouvel échantillon malveillant utilisé par Lazarus APT pour cibler une entreprise de fret sud-africaine non nommée. Le logiciel malveillant, surnommé Vyveva, obtient des capacités de porte dérobée impressionnantes, utilisées par l’acteur soutenu par l’État pour la reconnaissance et la cyber-espionnage.
Aperçu de la porte dérobée Vyveva
Vyveva est une menace sur mesure appliquée par le groupe parrainé par l’État nord-coréen dans des opérations hautement ciblées. À ce jour, les experts en sécurité n’ont pu détecter que quelques instances victimisées, toutes deux liées à l’attaque informatique contre l’entreprise de fret à l’été 2020. Cependant, l’analyse montre que le logiciel malveillant a été utilisé dans les campagnes de Lazarus depuis fin 2018. De plus, il partage de nombreux segments de code avec la famille NukeSped, une autre menace dans l’arsenal du groupe, ce qui permet aux experts d’attribuer Vyveva à des adversaires nord-coréens.
ESET détaille que la porte dérobée Vyveva se compose de trois éléments principaux : installateur, chargeur et charge utile malveillante. La méthode d’intrusion initiale n’est actuellement pas explorée, néanmoins, les praticiens de la sécurité suggèrent l’existence d’un déclencheur malveillant secret. L’installateur est responsable de la persistance du chargeur et place la charge utile par défaut dans le registre. De plus, le composant de chargeur décrypte la charge utile avec un algorithme de décryptage XOR, de sorte qu’elle soit prête à exécuter un ensemble de fonctions malveillantes.
Selon les chercheurs, Vyveva est capable d’exécuter 23 commandes, y compris l’exfiltration de fichiers, le vidage de données, l’exécution de code arbitraire et le timestomping. Bien que la plupart des fonctions soient typiques, certaines sur la liste sont capables de résoudre des tâches sophistiquées. Par exemple, l’option de timestomping permet de copier les métadonnées temporelles à partir d’un fichier légitime. Et la commande de téléchargement de fichiers est capable d’exfiltrer des répertoires et de prendre en charge le filtrage des extensions de fichiers. Notamment, les commandes peuvent être lancées de manière asynchrone et exécutées dans des fils séparés.
Détection de la porte dérobée Vyveva
Pour détecter l’activité malveillante associée au nouvel outil Lazarus, vous pouvez télécharger une règle Sigma communautaire de notre développeur prolifique Threat Bounty Kyaw Pyiyt Htet:
https://tdm.socprime.com/tdm/info/HKO3ESP3ZBoF
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix,
EDR : Sentinel One
MITRE ATT&CK :
Tactiques : Exécution, Exfiltration, Évasion de la défense
Techniques : Exécution via API (T0871), Exfiltration via canal de commande et contrôle (T1041), Mascarade (T1036)
De plus, vous pouvez assurer votre défense proactive contre les intrusions de Lazarus en vérifiant la liste complète des détections sur mesure disponible dans le Threat Detection Marketplace.
Obtenez un abonnement gratuit au Threat Detection Marketplace, une plateforme de contenu en tant que service (CaaS) leader mondial qui aide les équipes SecOps à améliorer leurs analyses de sécurité et à résister aux cyberattaques dès les premières étapes de leur cycle de vie. Désireux de monétiser vos compétences en chasse aux menaces et de contribuer à la toute première bibliothèque de contenu SOC de l’industrie ? Rejoignez notre programme Threat Bounty !
