Nombre de lecteurs : 6
Des versions Windows du malware SprySOCKS visent des gouvernements

Le malware SprySOCKS ciblant des gouvernements

Le malware SprySOCKS est utilisé par un groupe de cyberespionnage chinois pour cibler des organisations gouvernementales, au moins depuis 2023. Un rapport récent d’ESET met en lumière l’utilisation d’une variante Windows de ce logiciel malveillant, qui cible des administrations à Taïwan, en Thaïlande, au Pakistan et au Honduras.

Jusqu’à présent, SprySOCKS était principalement associé à des menaces sur Linux, attribuées au groupe Earth Lusca, également connu sous le nom de FishMonger. Les nouvelles variantes ont été détectées sur VirusTotal, et les données de télémétrie d’ESET indiquent que les premiers incidents remontent à 2023-2024. Bien que l’information soit récente, la menace sur Windows n’est pas nouvelle.

Deux variantes Windows, un objectif commun : l’espionnage

Les chercheurs d’ESET ont identifié deux variantes distinctes de SprySOCKS pour Windows :

  • WIN_DRV : Cette porte dérobée intègre des pilotes noyau, lui conférant des capacités proches d’un rootkit, en exploitant notamment la vulnérabilité CVE-2023-24932.
  • WIN_PLUS : Une version plus basique.

La variante WIN_DRV se distingue par son chargement en mémoire d’un pilote nommé RawWNPF, déployé par un autre pilote noyau, DriverLoader (fsdiskbit.sys). Pour contourner certaines protections, les pirates ont utilisé un certificat divulgué disponible sur GitHub pour signer le pilote fsdiskbit.sys.

Les mécanismes de persistance diffèrent entre les deux variantes. WIN_DRV utilise une tâche planifiée et l’outil vds.exe, tandis que WIN_PLUS s’enregistre comme processeur d’impression Windows.

Malgré ces différences, les deux variantes partagent des fonctionnalités communes, notamment :

  • Communication via TCP, UDP et WebSocket.
  • Prise en charge de plus de 30 commandes pour recevoir des instructions des serveurs C2.
  • Collecte d’informations sur le système.
  • Énumération des processus et des services.
  • Manipulation complète des fichiers.
  • Fonctionnalités de proxy SOCKS.
  • Fonction de keylogger.

Grâce à ces capacités, le malware peut opérer de manière furtive tout en collectant et en exfiltrant des informations sensibles. ESET souligne que WIN_DRV permet également le détournement du trafic TCP, facilitant l’envoi de commandes sans révéler le port d’écoute de la porte dérobée.

Pour plus d’informations, consultez le rapport d’ESET.

Source principale : ESET

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *