Les chercheurs dissuadent la porte dérobée usée par NotPetya Operators


Les chercheurs de sécurité ESET ont effectué une analyse détaillée d'une porte dérobée utilisée par le groupe derrière l'essuie-glace destructif NotPetya et injecté dans les ressources légitimes du logiciel de comptabilité fiscale MEDoc plus tôt cette année.

Masquerading en tant que ransomware, NotPetya a finalement été considéré comme un essuie-glace conçu principalement pour détruire des données plutôt que de le retenir pour la rançon, et les chercheurs de sécurité l'ont relié au groupe de menaces persistantes TeleBots, qui a lancé plusieurs cyber – attaques contre l'Ukraine auparavant.

Précédemment appelé BlackEnergy and Sandworm, le groupe aurait compromis M.E.Doc plus tôt cette année et a injecté leur propre code dans l'un des modules de l'application. Le module malveillant a ensuite été mis en évidence comme une mise à jour des clients M.E.Doc et utilisé pour distribuer des logiciels malveillants dans les réseaux de ces entreprises.

«Il semble très peu probable que les attaquants puissent« injecter une «porte dérobée très furtive et astucieuse» dans l'un des modules légitimes du logiciel «sans accès au code source de M.E.Doc», note ESET. Nommé ZvitPublishedObjects.dll le module backdoored est écrit à l'aide de .NET Framework, mesure 5 Mo et "contient beaucoup de code légitime pouvant être appelé par d'autres composants, y compris le principal exécutable de MEDoc ezvit .exe. "

Le module malveillant faisait partie d'au moins trois mises à jour publiées cette année, le 14 avril, le 15 mai et le 22 juin, mais MEDoc ne semble pas avoir pris connaissance du compromis, Plusieurs mises à jour entre …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils