Un récent rapport réalisé par WithSecure, ex F-Secure business, a constaté une utilisation de l’outil de piratage chinois Silkloader par des gangs de ransomware russes.
Selon les chercheurs de WithSecure, le malware Silkloader serait utilisé, au moins, depuis début 2022. Il a été identifié pour la première fois au cours d’une attaque menée, en France, contre un organisme de protection sociale [NDLR : l’éditeur n’a pas donné plus de précisions]. Et, avant l’été 2022, Silkloader était exclusivement utilisé par des cybercriminels chinois contre des cibles situées en Asie orientale, principalement à Hong Kong et en Chine. Or, l’activité de Silkloader avait cessé en juillet et n’avait pas donné signe de vie jusqu’en septembre, période durant laquelle il est réapparu lors d’attaques menées contre Taïwan, le Brésil et la France. Pour les chercheurs, Silkloader serait probablement vendu sous forme d’outil “prêt à l’emploi” à des groupes de ransomware russes via un programme Packer-as-a-Service. “Il se peut aussi que Silkloader soit distribué via des groupes proposant Cobalt Strike/Infrastructure-as-a-Service à des affiliés de confiance”, explique Mohammad Kazem Hassan Nejad, Intelligence Researcher chez WithSecure.
Le player VLC comme vecteur d’attaque
Selon lui, la plupart des groupes concernés semblent avoir noué des échanges avec d’anciens membres du groupe pro-Russe CONTI, ou avec des cybergangs nés après la fermeture présumée de ce groupe. De la famille des “loaders”, Silkloader exploite une technique connue sous le nom de DLL sideloading. Via VLC Media, il lance sur les ordinateurs ciblés, des balises Cobalt Strike qui permettent aux hackers de s’installer dans la durée sur les appareils infectés en vue d’une activation ultérieure. Selon Mohammad Kazem Hassan Nejad, “ce loader a été conçu pour masquer les balises Cobalt Strike afin qu’elles puissent échapper aux mécanismes de protection. Ces balises, bien connues sont, la plupart du temps, détectées sans problème. Mais, en complexifiant le contenu du fichier et en le lançant via une application comme VLC Media Player via un sideloading, les hackers ont les moyens de réussir à contourner les mécanismes de défense mis en place.”