Les chercheurs dissuadent la porte dérobée usée par NotPetya Operators

Les chercheurs de sécurité ESET ont effectué une analyse détaillée d'une porte dérobée utilisée par le groupe derrière l'essuie-glace destructif NotPetya et injecté dans les ressources légitimes du logiciel de comptabilité fiscale MEDoc plus tôt cette année.

Masquerading en tant que ransomware, NotPetya a finalement ̩t̩ consid̩r̩ comme un essuie-glace con̤u principalement pour d̩truire des donn̩es plut̫t que de le retenir pour la ran̤on, et les chercheurs de s̩curit̩ l'ont reli̩ au groupe de menaces persistantes TeleBots, qui a lanc̩ plusieurs cyber Рattaques contre l'Ukraine auparavant.

Précédemment appelé BlackEnergy and Sandworm, le groupe aurait compromis M.E.Doc plus tôt cette année et a injecté leur propre code dans l'un des modules de l'application. Le module malveillant a ensuite été mis en évidence comme une mise à jour des clients M.E.Doc et utilisé pour distribuer des logiciels malveillants dans les réseaux de ces entreprises.

«Il semble très peu probable que les attaquants puissent« injecter une «porte dérobée très furtive et astucieuse» dans l'un des modules légitimes du logiciel «sans accès au code source de M.E.Doc», note ESET. Nommé ZvitPublishedObjects.dll le module backdoored est écrit à l'aide de .NET Framework, mesure 5 Mo et "contient beaucoup de code légitime pouvant être appelé par d'autres composants, y compris le principal exécutable de MEDoc ezvit .exe. "

Le module malveillant faisait partie d'au moins trois mises à jour publiées cette année, le 14 avril, le 15 mai et le 22 juin, mais MEDoc ne semble pas avoir pris connaissance du compromis, Plusieurs mises à jour entre …