Le groupe nord-coréen Kimsuky, adepte du cyberespionnage, s’appuie sur de nouveaux outils dont un RDP Wrapper personnalisé pour accéder directement aux machines compromises. Faisons le point.
Une campagne de spear-phishing sophistiquée
D’après les chercheurs d’AhnLab Security Intelligence Center (ASEC), les pirates de Kimsuky utilisent désormais des outils d’accès distant personnalisés, délaissant progressivement les portes dérobées trop bruyantes comme PebbleDash.
Les attaques de Kimsuky observées récemment débutent par des e-mails de spear-phishing, au sein desquels les cybercriminels ajoutent un fichier malveillant correspondant à un raccourci (.LNK), déguisé en document PDF ou Word. Un travail de reconnaissance est probablement effectué en amont par les pirates puisque les e-mails contiennent le nom du destinataire et le nom de son entreprise.
Si l’utilisateur se fait piéger, l’ouverture du fichier malveillant déclenche l’exécution de scripts PowerShell (ou Mshta) qui vont télécharger des payloads depuis un serveur distant contrôlé par les attaquants. Le rapport d’ASEC évoque les charges suivantes :
PebbleDash, une porte dérobée déjà connue permettant une prise de contrôle initiale du système.
RDP Wrapper, une version modifiée de cet outil open-source, permettant un accès distant persistant par l’intermédiaire du protocole RDP (Bureau à distance)
Des outils proxy, utilisés pour contourner les restrictions réseau et permettre un accès au système même si les connexions RDP directes sont bloquées.
RDP Wrapper : une porte dérobée discrète
Dans le cadre de ces attaques, les pirates utilisent une version modifiée de RDP Wrapper. À l’origine, il s’agit d’un outil légitime que n’importe qui peut utiliser pour activer le protocole Bureau à distance (RDP) sur les systèmes qui ne le prennent pas en charge nativement. C’est notamment le cas de l’édition Famille de Windows. Il ajoute aussi la prise en charge du multisessions.
Kimsuky l’a modifié pour en faire un serveur RDP plus furtif et capable de contourner les détections antivirus. L’utilisation de cet outil offre plusieurs avantages :
Une évasion efficace des détections, car les connexions RDP apparaissent souvent comme légitimes dans les flux réseau.
Un accès plus confortable grâce à l’interface graphique, en comparaison à un simple accès en ligne de commande.
Un contournement des restrictions réseau, grâce aux outils de proxy permettant un accès RDP même derrière un pare-feu ou un NAT.
Le rapport publié par les chercheurs d’ASEC met aussi en avant la seconde phase de l’attaque, lorsque les pirates sont bien installés sur la machine compromise. Ils profitent de cet accès pour déployer d’autres logiciels malveillants :
Un keylogger, dont la fonction est d’enregistrer les frappes clavier et stocker les données dans des fichiers cachés.
Un infostealer baptisé forceCopy, conçu pour collecter et extraire les identifiants enregistrés dans les navigateurs web.
Un ReflectiveLoader en PowerShell, qui permet l’exécution de charges malveillantes directement en mémoire.
Enfin, si vous souhaitez en savoir plus sur les IOC, vous pouvez consulter le rapport des chercheurs, il y a notamment les adresses IP utilisées par les attaquants.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.