– Le secteur de la santé reste une cible de choix pour les ransomwares. Cependant, les menaces qui pèsent sur ce secteur vont au-delà des ransomwares.
– Nous avons identifié une campagne menée par le groupe de pirates informatiques chinois Silver Fox, qui a exploité les visionneuses DICOM de Philips pour déployer une porte dérobée, un enregistreur de frappes et un mineur de cryptomonnaie sur les ordinateurs des victimes.
**Recommandations d’Atténuation pour les Organisations de Soins de Santé (HDOs)**
– Évitez de télécharger des logiciels ou des fichiers provenant de sources non fiables, y compris les appareils des patients.
– Mettez en place une segmentation du réseau pour isoler les appareils/réseaux non fiables des systèmes internes.
– Exécutez des solutions antivirus ou de détection et de réponse aux points de terminaison (EDR) à jour.
– Surveillez en continu tout le trafic réseau et la télémétrie des points de terminaison pour détecter les indicateurs de compromission (IoC) listés ci-dessous.
**MISE À JOUR :** Forescout Research – Vedere Labs n’a aucune preuve que Philips ou les appareils médicaux de Philips aient été piratés pour distribuer des versions malveillantes de leur Visionneuse DICOM. Le cyberacteur impliqué dans cette campagne est connu pour utiliser des techniques telles que le phishing et les attaques par empoisonnement de l’eau pour distribuer des logiciels malveillants. Les campagnes précédentes ciblant des visionneuses DICOM (non issues de Philips) ont utilisé les mêmes techniques.
Le secteur de la santé a été le secteur d’infrastructure critique le plus ciblé en 2023 et 2024. Bien que de nombreuses attaques aient impliqué des ransomwares, affectant la disponibilité des données et perturbant potentiellement les soins aux patients, d’autres menaces exploitent directement les applications médicales.
Lors d’une chasse aux menaces pour de nouveaux logiciels malveillants, nous avons identifié un groupe de 29 échantillons de malwares se faisant passer pour des visionneuses DICOM de Philips. Ces échantillons ont déployé ValleyRAT, un outil d’accès à distance (RAT) utilisé par le cyberacteur chinois Silver Fox pour prendre le contrôle des ordinateurs des victimes. En plus de la porte dérobée, les victimes ont également été infectées par un enregistreur de frappes et un mineur de cryptomonnaie, un comportement non associé auparavant à ce cyberacteur.
Ci-dessous, nous fournissons une analyse détaillée de cette nouvelle campagne de Silver Fox et décrivons des stratégies d’atténuation pour réduire les risques.
**Groupe de Malwares Identifié**
Le groupe de malwares que nous avons découvert contenait des versions piratées de MediaViewerLauncher.exe, l’exécutable principal de la visionneuse DICOM de Philips. Tous les échantillons identifiés ont été soumis à VirusTotal depuis les États-Unis ou le Canada entre décembre 2024 et janvier 2025.
En pivotant à partir des 29 échantillons initiaux, nous avons identifié de nombreux autres cas se faisant passer pour d’autres types de logiciels. Ces échantillons (collectés entre juillet 2024 et janvier 2025) présentent des traits communs, tels que des techniques d’évasion de défense PowerShell, des schémas d’exécution de processus distinctifs et des artefacts de système de fichiers partagés.
Notamment, les échantillons montrent un comportement évolutif, suggérant un développement continu des malwares :
– Juillet 2024 : 12 échantillons présentaient une évasion de défense basique, utilisant une seule commande d’exclusion PowerShell, des chaînes de processus simples et une utilisation minimale des utilitaires système.
– Août 2024 : 13 échantillons ont introduit plusieurs commandes d’exclusion PowerShell, des chaînes de processus plus complexes et une utilisation étendue des utilitaires système.
– Octobre 2024 – Décembre 2024 : 3 échantillons indiquaient des avancées supplémentaires incorporant des chemins d’exclusion additionnels et de nouvelles actions sur le système de fichiers.
– Janvier 2025 : 2 échantillons démontraient plusieurs couches de commandes PowerShell, reflétant des techniques d’évasion avancées.
Les derniers échantillons de malwares se font passer pour des logiciels légitimes, y compris MediaViewerLauncher.exe pour la Visionneuse DICOM et emedhtml.exe pour EmEditor. De plus, certains échantillons étaient déguisés en pilotes système et utilitaires, tels que x64DrvFx.exe.
**Historique de l’APT Silver Fox**
Silver Fox, également connu sous les noms de Void Arachne et The Great Thief of Valley, est un APT qui a historiquement ciblé des victimes chinoises et qui est très actif depuis 2024. Au cours de la dernière année, le groupe a démontré des tactiques, techniques et procédures (TTP) évolutives, élargissant sa cible à une gamme plus large de victimes :
– Juin 2024 : Silver Fox a été identifié pour la première fois en ciblant des victimes chinoises avec un malware qui téléchargeait le cheval de Troie Winos 4.0, également connu sous le nom de ValleyRAT. Cette campagne utilisait l’empoisonnement SEO, les plateformes de médias sociaux et de messagerie pour distribuer des malwares déguisés en applications d’IA ou en logiciels VPN.
– Juin 2024 : Plus tard ce mois-là, le groupe a été observé déployant une version modifiée de ValleyRAT incorporant le chargement latéral de DLL, l’injection de processus et un serveur de fichiers HTTP (HFS) pour le téléchargement et le contrôle-commande (C2).
– Juillet 2024 : Une nouvelle analyse suggérait que Silver Fox pourrait être un APT se faisant passer pour des cybercriminels, car ses cibles se sont déplacées vers des institutions gouvernementales et des entreprises de cybersécurité.
– Août 2024 : Une autre campagne ciblait les entreprises de commerce électronique, de finance, de vente et de gestion.
– Septembre 2024 : Le groupe a été observé utilisant un pilote TrueSight pour désactiver les logiciels antivirus.
– Novembre 2024 : Silver Fox a changé ses méthodes de distribution de Winos/ValleyRAT, utilisant des applications de jeux comme nouveau mécanisme de distribution.
– Janvier 2025 : Le chargeur PNGPlug a été identifié pour la première fois comme faisant partie des TTP du groupe.
– Février 2025 : Une nouvelle campagne a été identifiée, ciblant les professionnels de la finance, de la comptabilité et des ventes, visant à voler des données sensibles.
Le nouveau groupe de malwares que nous avons identifié, qui inclut des noms de fichiers imitant des applications de santé, des exécutables en anglais et des soumissions de fichiers provenant des États-Unis et du Canada, suggère que le groupe pourrait étendre ses cibles à de nouvelles régions et secteurs. De plus, l’utilisation par le groupe d’un mineur de cryptomonnaie, détaillée ci-dessous, indique l’introduction de nouvelles TTP dans leurs campagnes.
**Aperçu du Comportement des Malwares : De la Visionneuse DICOM à ValleyRAT**
Les échantillons de ce groupe, y compris MediaViewerLauncher.exe, fonctionnent comme des charges utiles de premier niveau qui peuvent être délivrées par plusieurs vecteurs. Bien que nous ne puissions pas confirmer la méthode exacte de distribution, Silver Fox a un historique d’utilisation de l’empoisonnement SEO et du phishing pour propager ses malwares.
La figure ci-dessous illustre le flux d’exécution du malware, de l’étape initiale d’infection à la mise en place de ses charges utiles finales. Une description détaillée de son comportement suit dans la section suivante.
La charge utile de premier niveau effectue deux fonctions préparatoires clés avant d’exécuter des charges utiles supplémentaires :
– Balisage et Reconnaissance : Elle exécute des utilitaires Windows natifs tels que ping.exe, find.exe, cmd.exe et ipconfig.exe pour vérifier si le système peut atteindre le serveur C2.
– Évasion de la Sécurité via des Exclusions PowerShell :
– Août 2024 : Introduction de commandes PowerShell pour exclure certains chemins de l’analyse Windows Defender, préparant le système pour d’autres étapes du malware.
Après avoir exécuté ces étapes préparatoires, le premier niveau contacte un compartiment Alibaba Cloud pour télécharger plusieurs charges utiles chiffrées déguisées en fichiers image. Ces charges utiles, détaillées à la fin de ce rapport, incluent :
– TrueSightKiller
– Une DLL et un exécutable Cyren AV
– D’autres fichiers auxiliaires et shellcode
Une fois téléchargées, le malware déchiffre les charges utiles et génère un exécutable malveillant (malware de deuxième niveau) qui est enregistré comme une tâche planifiée Windows. Cette tâche s’exécute immédiatement et est configurée pour s’exécuter à chaque connexion de l’utilisateur, assurant la persistance sur le système infecté.
Le malware de deuxième niveau charge la DLL Cyren AV contenant du code injecté conçu pour éviter le débogage. Il énumère ensuite les processus système pour identifier divers logiciels de sécurité (détaillés à la fin du rapport) et les termine en utilisant TrueSightKiller.
Une fois les défenses de sécurité désactivées, le deuxième niveau télécharge un fichier chiffré, le déchiffre en charge utile de troisième niveau, le module de porte dérobée et de chargement ValleyRAT, qui communique avec un serveur C2 hébergé sur Alibaba Cloud. ValleyRAT récupère ensuite des charges utiles chiffrées supplémentaires qui, une fois déchiffrées, fonctionnent comme un enregistreur de frappes et un mineur de cryptomonnaie. Toutes les trois charges utiles finales (porte dérobée, enregistreur de frappes et mineur de cryptomonnaie) assurent leur persistance sur la victime via des tâches planifiées.
Au moment de cette analyse, les compartiments de stockage Alibaba Cloud restaient accessibles, mais le serveur C2 était déjà hors ligne.
Chaque étape du malware incorpore des techniques de chiffrement, d’obfuscation et d’évasion pour résister à la détection et à l’analyse. Celles-ci incluent :
– Méthodes d’Obfuscation :
– Hachage des API pour masquer les appels de fonction.
– Récupération indirecte des API pour éviter l’analyse statique.
– Manipulation indirecte du flux de contrôle pour entraver le débogage et l’ingénierie inverse.
– Techniques d’Évasion :
– Longs intervalles de sommeil pour retarder l’exécution et éviter la détection en bac à sable.
– Empreinte digitale du système pour adapter l’exécution en fonction de l’environnement cible.
– Chargement masqué de DLL pour éviter la surveillance de sécurité.
– Planification de tâches et chargement de pilotes basés sur RPC pour contourner la surveillance standard des processus.
De plus, le malware ajoute également des octets aléatoires aux fichiers déposés et chargés, rendant la détection et la chasse basée sur le hachage de fichiers significativement plus difficile.
**Analyse Détaillée des Malwares**
L’analyse suivante a été réalisée sur un échantillon individuel de malware, donc les noms de fichiers et les hachages présentés ici sont spécifiques à cet échantillon. Bien que d’autres échantillons du groupe utilisent différents noms de fichiers, leur comportement global reste cohérent.
Le malware de premier niveau télécharge un fichier chiffré initial nommé i.dat à partir d’un compartiment Alibaba Cloud à vien3h[.]oss-cn-beijing[.]aliyuncs[.]com. Le fichier i.dat contient des URL pour six fichiers supplémentaires hébergés dans le même compartiment cloud, qui pour l’échantillon analysé étaient nommés a.gif, b.gif, c.gif, d.gif, s.dat et s.jpeg. Ces fichiers sont téléchargés, déchiffrés et sauvegardés sur le système de fichiers avec de nouveaux noms de fichiers. Dans l’échantillon analysé, les noms de fichiers déchiffrés étaient install.exe, vselog.dll, WordPadFilter.db, MsMpList.dat et 189atohci.sys. Le fichier s.jpeg n’a pas été déchiffré en un fichier séparé, mais a été directement traité comme shellcode en mémoire.
Le shellcode commence par scanner la mémoire du processus à la recherche de kernel32.dll:GetProcAddress (hachage : 0x1ab9b854). Il utilise ensuite GetProcAddress pour récupérer les adresses des fonctions critiques suivantes : LoadLibraryA, VirtualAlloc, VirtualFree et lstrcmpiA. Ensuite, le malware charge ntdll et récupère de celui-ci les adresses de RtlZeroMemory et RtlMoveMemory. Ces fonctions sont ensuite utilisées pour la manipulation de la mémoire et le déballage de la charge utile. Le shellcode appelle ensuite VirtualAlloc pour allouer de la mémoire et déballe une DLL malveillante qui sera utilisée plus tard pour la planification de tâches basée sur RPC d’exécutables malveillants.
Le shellcode charge ensuite RPCRT4.dll et récupère des références pour les fonctions RPC RpcBindingFromStringBindingW, RpcStringFreeW, RpcBindingComposeW, NdrClientCall3 et RpcBindingSetAuthInfoExA. De plus, il charge KERNEL32.dll et récupère des références pour HeapAlloc et HeapFree. Le malware utilise une fonction de la DLL de persistance qui utilise le canal nommé pipeatsvc pour créer une liaison de chaîne sous la forme ncacn_np:[pipeatsvc]. Il crée ensuite une liaison RPC et exécute NdrClinetCall3 avec la description de tâche XML suivante :
Cela planifie une tâche Windows pour exécuter TO7RUF.exe, qui correspond à l’exécutable Cyren AV (vseamps.exe ou install.exe). Cette tâche est configurée pour s’exécuter immédiatement après la planification et ensuite à chaque connexion de l’utilisateur actuel, assurant la persistance. Après avoir planifié la tâche, le malware de premier niveau nettoie toute la mémoire allouée dynamiquement et se termine, transférant effectivement l’exécution au deuxième niveau.
Le malware de deuxième niveau commence par charger vselog.dll et saute à sa fonction DLLMain pour vérifier la présence d’un débogueur et éviter l’analyse. Il vérifie également la présence de MsMpList.dat, un indicateur clé utilisé pour la logique d’exécution supplémentaire.
L’analyse de la charge utile de deuxième niveau nécessite de définir un point d’arrêt sur RtlUserThreadStart et de surveiller le paramètre RCX passé à cette fonction. Une fois exécuté, le malware charge et déchiffre WordPadFilter.db et MsMpList.dat, écrit les deux fichiers dans sa propre mémoire de processus en utilisant WriteProcessMemory et appelle DisableThreadLibraryCalls pour empêcher l’interception du chargement de DLL par le débogueur.
L’exécution passe ensuite au shellcode déchiffré de WordPadFilter.db et MsMpList.dat, qui scanne les logiciels de sécurité installés. Si un logiciel de sécurité est détecté, le malware utilise des appels RPC pour charger le pilote TrueSightKiller à partir de 189atohci.sys, exécute DeviceIoControl pour demander l’IOCTL numéro 0x22e044 avec les paramètres MsMpEng et NisSrv.exe, terminant effectivement Windows Defender et désactivant la surveillance native du réseau Windows, permettant au malware d’opérer sans être détecté.
Après avoir désactivé les défenses de sécurité, le malware se reconnecte au même compartiment Alibaba Cloud et télécharge quatre charges utiles chiffrées supplémentaires nommées FOM-50.jpg, FOM-51.jpg, FOM-52.jpg et FOM-53.jpg. Ces fichiers sont déchiffrés en OKSave.exe (produit en mémoire à partir d’un composant de désinstallation bénin d’Internet Explorer), tbcore3U.dll, log.src et utils.vcxproj. Le flux d’exécution se poursuit comme suit ; OKSave.exe charge tbcore3U.dll, qui à son tour déballe et exécute des malwares à partir de log.src et utils.vcxproj, déployant à la fois un mineur de cryptomonnaie et un enregistreur de frappes, qui stocke les journaux dans C:xxxx.in.
À ce stade, trois exécutables malveillants persistants résident sur le système : la porte dérobée ValleyRAT, l’enregistreur de frappes et le mineur de cryptomonnaie. Ces composants de malware sont configurés pour s’exécuter soit au démarrage du système, soit lors de la création de tâches planifiées. Le malware communique avec son serveur C2 hébergé sur Alibaba Cloud à 8.217.60[.]40:8917.
**Conclusion et Recommandations d’Atténuation**
Notre enquête a révélé une nouvelle campagne impliquant des malwares sophistiqués et en évolution rapide déployés par un cyberacteur chinois. Cette campagne utilise des visionneuses DICOM piratées comme appâts pour infecter les systèmes des victimes avec une porte dérobée (ValleyRAT) pour l’accès et le contrôle à distance, un enregistreur de frappes pour capturer l’activité et les identifiants des utilisateurs, et un mineur de cryptomonnaie pour exploiter les ressources système à des fins financières.
Bien que ces visionneuses DICOM ciblent probablement les patients plutôt que les hôpitaux directement, car les patients utilisent souvent ces applications pour visualiser leurs propres images médicales, le risque pour les HDO reste significatif. Dans des scénarios où les patients apportent des appareils infectés dans les hôpitaux pour un diagnostic, ou dans des programmes émergents tels que les hôpitaux à domicile, qui dépendent de la technologie des patients, ces infections pourraient se propager au-delà des appareils individuels des patients, permettant aux cyberacteurs de potentiellement obtenir un point d’entrée initial dans les réseaux de soins de santé.
Pour minimiser les risques et prévenir l’accès non autorisé, les HDO doivent mettre en œuvre les mesures d’atténuation des risques suivantes :
– Évitez de télécharger des logiciels ou des fichiers provenant de sources non fiables.
– Interdisez le chargement de fichiers depuis les appareils des patients sur les postes de travail de soins de santé ou d’autres équipements connectés au réseau.
– Mettez en place une segmentation réseau robuste pour isoler les appareils et réseaux non fiables (par exemple, le Wi-Fi invité) de l’infrastructure interne de l’hôpital.
– Assurez-vous que tous les points de terminaison sont protégés par des solutions antivirus ou EDR à jour.
– Surveillez en continu tout le trafic réseau et la télémétrie des points de terminaison pour détecter toute activité suspecte.
– Chassez proactivement les activités malveillantes alignées sur le comportement connu des cyberacteurs, assurant une détection et une réponse précoces.
**IoCs et Détails Supplémentaires**
Les indicateurs de compromission (IoCs) associés à cette campagne sont disponibles sur le flux de menaces Forescout Vedere Labs.
**Résumé**
– Le secteur de la santé reste une cible de choix pour les ransomwares. Cependant, les menaces qui pèsent sur ce secteur vont au-delà des ransomwares.
– Nous avons identifié une campagne menée par le groupe de pirates informatiques chinois Silver Fox, qui a exploité les visionneuses DICOM de Philips pour déployer une porte dérobée, un enregistreur de frappes et un mineur de cryptomonnaie sur les ordinateurs des victimes.
**Recommandations d’Atténuation pour les Organisations de Soins de Santé (HDOs)**
– Évitez de télécharger des logiciels ou des fichiers provenant de sources non fiables, y compris les appareils des patients.
– Mettez en place une segmentation du réseau pour isoler les appareils/réseaux non fiables des systèmes internes.
– Exécutez des solutions antivirus ou de détection et de réponse aux points de terminaison (EDR) à jour.
– Surveillez en continu tout le trafic réseau et la télémétrie des points de terminaison pour détecter les indicateurs de compromission (IoC) listés ci-dessous.
**MISE À JOUR :** Forescout Research – Vedere Labs n’a aucune preuve que Philips ou les appareils médicaux de Philips aient été piratés pour distribuer des versions malveillantes de leur Visionneuse DICOM. Le cyberacteur impliqué dans cette campagne est connu pour utiliser des techniques telles que le phishing et les attaques par empoisonnement de l’eau pour distribuer des logiciels malveillants. Les campagnes précédentes ciblant des visionneuses DICOM (non issues de Philips) ont utilisé les mêmes techniques.
Le secteur de la santé a été le secteur d’infrastructure critique le plus ciblé en 2023 et 2024. Bien que de nombreuses attaques aient impliqué des ransomwares, affectant la disponibilité des données et perturbant potentiellement les soins aux patients, d’autres menaces exploitent directement les applications médicales.
Lors d’une chasse aux menaces pour de nouveaux logiciels malveillants, nous avons identifié un groupe de 29 échantillons de malwares se faisant passer pour des visionneuses DICOM de Philips. Ces échantillons ont déployé ValleyRAT, un outil d’accès à distance (RAT) utilisé par le cyberacteur chinois Silver Fox pour prendre le contrôle des ordinateurs des victimes. En plus de la porte dérobée, les victimes ont également été infectées par un enregistreur de frappes et un mineur de cryptomonnaie, un comportement non associé auparavant à ce cyberacteur.
Ci-dessous, nous fournissons une analyse détaillée de cette nouvelle campagne de Silver Fox et décrivons des stratégies d’atténuation pour réduire les risques.
**Groupe de Malwares Identifié**
Le groupe de malwares que nous avons découvert contenait des versions piratées de MediaViewerLauncher.exe, l’exécutable principal de la visionneuse DICOM de Philips. Tous les échantillons identifiés ont été soumis à VirusTotal depuis les États-Unis ou le Canada entre décembre 2024 et janvier 2025.
En pivotant à partir des 29 échantillons initiaux, nous avons identifié de nombreux autres cas se faisant passer pour d’autres types de logiciels. Ces échantillons (collectés entre juillet 2024 et janvier 2025) présentent des traits communs, tels que des techniques d’évasion de défense PowerShell, des schémas d’exécution de processus distinctifs et des artefacts de système de fichiers partagés.
Notamment, les échantillons montrent un comportement évolutif, suggérant un développement continu des malwares :
– Juillet 2024 : 12 échantillons présentaient une évasion de défense basique, utilisant une seule commande d’exclusion PowerShell, des chaînes de processus simples et une utilisation minimale des utilitaires système.
– Août 2024 : 13 échantillons ont introduit plusieurs commandes d’exclusion PowerShell, des chaînes de processus plus complexes et une utilisation étendue des utilitaires système.
– Octobre 2024 – Décembre 2024 : 3 échantillons indiquaient des avancées supplémentaires incorporant des chemins d’exclusion additionnels et de nouvelles actions sur le système de fichiers.
– Janvier 2025 : 2 échantillons démontraient plusieurs couches de commandes PowerShell, reflétant des techniques d’évasion avancées.
Les derniers échantillons de malwares se font passer pour des logiciels légitimes, y compris MediaViewerLauncher.exe pour la Visionneuse DICOM et emedhtml.exe pour EmEditor. De plus, certains échantillons étaient déguisés en pilotes système et utilitaires, tels que x64DrvFx.exe.
**Historique de l’APT Silver Fox**
Silver Fox, également connu sous les noms de Void Arachne et The Great Thief of Valley, est un APT qui a historiquement ciblé des victimes chinoises et qui est très actif depuis 2024. Au cours de la dernière année, le groupe a démontré des tactiques, techniques et procédures (TTP) évolutives, élargissant sa cible à une gamme plus large de victimes :
– Juin 2024 : Silver Fox a été identifié pour la première fois en ciblant des victimes chinoises avec un malware qui téléchargeait le cheval de Troie Winos 4.0, également connu sous le nom de ValleyRAT. Cette campagne utilisait l’empoisonnement SEO, les plateformes de médias sociaux et de messagerie pour distribuer des malwares déguisés en applications d’IA ou en logiciels VPN.
– Juin 2024 : Plus tard ce mois-là, le groupe a été observé déployant une version modifiée de ValleyRAT incorporant le chargement latéral de DLL, l’injection de processus et un serveur de fichiers HTTP (HFS) pour le téléchargement et le contrôle-commande (C2).
– Juillet 2024 : Une nouvelle analyse suggérait que Silver Fox pourrait être un APT se faisant passer pour des cybercriminels, car ses cibles se sont déplacées vers des institutions gouvernementales et des entreprises de cybersécurité.
– Août 2024 : Une autre campagne ciblait les entreprises de commerce électronique, de finance, de vente et de gestion.
– Septembre 2024 : Le groupe a été observé utilisant un pilote TrueSight pour désactiver les logiciels antivirus.
– Novembre 2024 : Silver Fox a changé ses méthodes de distribution de Winos/ValleyRAT, utilisant des applications de jeux comme nouveau mécanisme de distribution.
– Janvier 2025 : Le chargeur PNGPlug a été identifié pour la première fois comme faisant partie des TTP du groupe.
– Février 2025 : Une nouvelle campagne a été identifiée, ciblant les professionnels de la finance, de la comptabilité et des ventes, visant à voler des données sensibles.
Le nouveau groupe de malwares que nous avons identifié, qui inclut des noms de fichiers imitant des applications de santé, des exécutables en anglais et des soumissions de fichiers provenant des États-Unis et du Canada, suggère que le groupe pourrait étendre ses cibles à de nouvelles régions et secteurs. De plus, l’utilisation par le groupe d’un mineur de cryptomonnaie, détaillée ci-dessous, indique l’introduction de nouvelles TTP dans leurs campagnes.
**Aperçu du Comportement des Malwares : De la Visionneuse DICOM à ValleyRAT**
Les échantillons de ce groupe, y compris MediaViewerLauncher.exe, fonctionnent comme des charges utiles de premier niveau qui peuvent être délivrées par plusieurs vecteurs. Bien que nous ne puissions pas confirmer la méthode exacte de distribution, Silver Fox a un historique d’utilisation de l’empoisonnement SEO et du phishing pour propager ses malwares.
La figure ci-dessous illustre le flux d’exécution du malware, de l’étape initiale d’infection à la mise en place de ses charges utiles finales. Une description détaillée de son comportement suit dans la section suivante.
La charge utile de premier niveau effectue deux fonctions préparatoires clés avant d’exécuter des charges utiles supplémentaires :
– Balisage et Reconnaissance : Elle exécute des utilitaires Windows natifs tels que ping.exe, find.exe, cmd.exe et ipconfig.exe pour vérifier si le système peut atteindre le serveur C2.
– Évasion de la Sécurité via des Exclusions PowerShell :
– Août 2024 : Introduction de commandes PowerShell pour exclure certains chemins de l’analyse Windows Defender, préparant le système pour d’autres étapes du malware.
« `powershell
Add-MpPreference -ExclusionPath ‘C:ProgramData’,’C:UsersPublic’ -Force
« `
– Décembre 2024 – Janvier 2025 : Extension des exclusions à des répertoires système supplémentaires, augmentant la furtivité :
« `powershell
Add-MpPreference -ExclusionPath ‘C:’,’C:ProgramData’,’C:Users’,’C:Program Files (x86)’ -Force
« `
Après avoir exécuté ces étapes préparatoires, le premier niveau contacte un compartiment Alibaba Cloud pour télécharger plusieurs charges utiles chiffrées déguisées en fichiers image. Ces charges utiles, détaillées à la fin de ce rapport, incluent :
– TrueSightKiller
– Une DLL et un exécutable Cyren AV
– D’autres fichiers auxiliaires et shellcode
Une fois téléchargées, le malware déchiffre les charges utiles et génère un exécutable malveillant (malware de deuxième niveau) qui est enregistré comme une tâche planifiée Windows. Cette tâche s’exécute immédiatement et est configurée pour s’exécuter à chaque connexion de l’utilisateur, assurant la persistance sur le système infecté.
Le malware de deuxième niveau charge la DLL Cyren AV contenant du code injecté conçu pour éviter le débogage. Il énumère ensuite les processus système pour identifier divers logiciels de sécurité (détaillés à la fin du rapport) et les termine en utilisant TrueSightKiller.
Une fois les défenses de sécurité désactivées, le deuxième niveau télécharge un fichier chiffré, le déchiffre en charge utile de troisième niveau, le module de porte dérobée et de chargement ValleyRAT, qui communique avec un serveur C2 hébergé sur Alibaba Cloud. ValleyRAT récupère ensuite des charges utiles chiffrées supplémentaires qui, une fois déchiffrées, fonctionnent comme un enregistreur de frappes et un mineur de cryptomonnaie. Toutes les trois charges utiles finales (porte dérobée, enregistreur de frappes et mineur de cryptomonnaie) assurent leur persistance sur la victime via des tâches planifiées.
Au moment de cette analyse, les compartiments de stockage Alibaba Cloud restaient accessibles, mais le serveur C2 était déjà hors ligne.
Chaque étape du malware incorpore des techniques de chiffrement, d’obfuscation et d’évasion pour résister à la détection et à l’analyse. Celles-ci incluent :
– Méthodes d’Obfuscation :
– Hachage des API pour masquer les appels de fonction.
– Récupération indirecte des API pour éviter l’analyse statique.
– Manipulation indirecte du flux de contrôle pour entraver le débogage et l’ingénierie inverse.
– Techniques d’Évasion :
– Longs intervalles de sommeil pour retarder l’exécution et éviter la détection en bac à sable.
– Empreinte digitale du système pour adapter l’exécution en fonction de l’environnement cible.
– Chargement masqué de DLL pour éviter la surveillance de sécurité.
– Planification de tâches et chargement de pilotes basés sur RPC pour contourner la surveillance standard des processus.
De plus, le malware ajoute également des octets aléatoires aux fichiers déposés et chargés, rendant la détection et la chasse basée sur le hachage de fichiers significativement plus difficile.
**Analyse Détaillée des Malwares**
L’analyse suivante a été réalisée sur un échantillon individuel de malware, donc les noms de fichiers et les hachages présentés ici sont spécifiques à cet échantillon. Bien que d’autres échantillons du groupe utilisent différents noms de fichiers, leur comportement global reste cohérent.
Le malware de premier niveau télécharge un fichier chiffré initial nommé i.dat à partir d’un compartiment Alibaba Cloud à vien3h[.]oss-cn-beijing[.]aliyuncs[.]com. Le fichier i.dat contient des URL pour six fichiers supplémentaires hébergés dans le même compartiment cloud, qui pour l’échantillon analysé étaient nommés a.gif, b.gif, c.gif, d.gif, s.dat et s.jpeg. Ces fichiers sont téléchargés, déchiffrés et sauvegardés sur le système de fichiers avec de nouveaux noms de fichiers. Dans l’échantillon analysé, les noms de fichiers déchiffrés étaient install.exe, vselog.dll, WordPadFilter.db, MsMpList.dat et 189atohci.sys. Le fichier s.jpeg n’a pas été déchiffré en un fichier séparé, mais a été directement traité comme shellcode en mémoire.
Le shellcode commence par scanner la mémoire du processus à la recherche de kernel32.dll:GetProcAddress (hachage : 0x1ab9b854). Il utilise ensuite GetProcAddress pour récupérer les adresses des fonctions critiques suivantes : LoadLibraryA, VirtualAlloc, VirtualFree et lstrcmpiA. Ensuite, le malware charge ntdll et récupère de celui-ci les adresses de RtlZeroMemory et RtlMoveMemory. Ces fonctions sont ensuite utilisées pour la manipulation de la mémoire et le déballage de la charge utile. Le shellcode appelle ensuite VirtualAlloc pour allouer de la mémoire et déballe une DLL malveillante qui sera utilisée plus tard pour la planification de tâches basée sur RPC d’exécutables malveillants.
Le shellcode charge ensuite RPCRT4.dll et récupère des références pour les fonctions RPC RpcBindingFromStringBindingW, RpcStringFreeW, RpcBindingComposeW, NdrClientCall3 et RpcBindingSetAuthInfoExA. De plus, il charge KERNEL32.dll et récupère des références pour HeapAlloc et HeapFree. Le malware utilise une fonction de la DLL de persistance qui utilise le canal nommé pipeatsvc pour créer une liaison de chaîne sous la forme ncacn_np:[pipeatsvc]. Il crée ensuite une liaison RPC et exécute NdrClinetCall3 avec la description de tâche XML suivante :
« `xml
true
true
PT1M
false
2011-04-23T00:00:00
true
S-1-5-32-545
HighestAvailable
IgnoreNew
false
true
false
true
false
true
false
true
true
true
false
false
PT0S
4
C:UsersREDACTEDDocumentsTO7RUF.exe
C:UsersREDACTEDDocuments
undefined
« `
Cela planifie une tâche Windows pour exécuter TO7RUF.exe, qui correspond à l’exécutable Cyren AV (vseamps.exe ou install.exe). Cette tâche est configurée pour s’exécuter immédiatement après la planification et ensuite à chaque connexion de l’utilisateur actuel, assurant la persistance. Après avoir planifié la tâche, le malware de premier niveau nettoie toute la mémoire allouée dynamiquement et se termine, transférant effectivement l’exécution au deuxième niveau.
Le malware de deuxième niveau commence par charger vselog.dll et saute à sa fonction DLLMain pour vérifier la présence d’un débogueur et éviter l’analyse. Il vérifie également la présence de MsMpList.dat, un indicateur clé utilisé pour la logique d’exécution supplémentaire.
L’analyse de la charge utile de deuxième niveau nécessite de définir un point d’arrêt sur RtlUserThreadStart et de surveiller le paramètre RCX passé à cette fonction. Une fois exécuté, le malware charge et déchiffre WordPadFilter.db et MsMpList.dat, écrit les deux fichiers dans sa propre mémoire de processus en utilisant WriteProcessMemory et appelle DisableThreadLibraryCalls pour empêcher l’interception du chargement de DLL par le débogueur.
L’exécution passe ensuite au shellcode déchiffré de WordPadFilter.db et MsMpList.dat, qui scanne les logiciels de sécurité installés. Si un logiciel de sécurité est détecté, le malware utilise des appels RPC pour charger le pilote TrueSightKiller à partir de 189atohci.sys, exécute DeviceIoControl pour demander l’IOCTL numéro 0x22e044 avec les paramètres MsMpEng et NisSrv.exe, terminant effectivement Windows Defender et désactivant la surveillance native du réseau Windows, permettant au malware d’opérer sans être détecté.
Après avoir désactivé les défenses de sécurité, le malware se reconnecte au même compartiment Alibaba Cloud et télécharge quatre charges utiles chiffrées supplémentaires nommées FOM-50.jpg, FOM-51.jpg, FOM-52.jpg et FOM-53.jpg. Ces fichiers sont déchiffrés en OKSave.exe (produit en mémoire à partir d’un composant de désinstallation bénin d’Internet Explorer), tbcore3U.dll, log.src et utils.vcxproj. Le flux d’exécution se poursuit comme suit ; OKSave.exe charge tbcore3U.dll, qui à son tour déballe et exécute des malwares à partir de log.src et utils.vcxproj, déployant à la fois un mineur de cryptomonnaie et un enregistreur de frappes, qui stocke les journaux dans C:xxxx.in.
À ce stade, trois exécutables malveillants persistants résident sur le système : la porte dérobée ValleyRAT, l’enregistreur de frappes et le mineur de cryptomonnaie. Ces composants de malware sont configurés pour s’exécuter soit au démarrage du système, soit lors de la création de tâches planifiées. Le malware communique avec son serveur C2 hébergé sur Alibaba Cloud à 8.217.60[.]40:8917.
**Conclusion et Recommandations d’Atténuation**
Notre enquête a révélé une nouvelle campagne impliquant des malwares sophistiqués et en évolution rapide déployés par un cyberacteur chinois. Cette campagne utilise des visionneuses DICOM piratées comme appâts pour infecter les systèmes des victimes avec une porte dérobée (ValleyRAT) pour l’accès et le contrôle à distance, un enregistreur de frappes pour capturer l’activité et les identifiants des utilisateurs, et un mineur de cryptomonnaie pour exploiter les ressources système à des fins financières.
Bien que ces visionneuses DICOM ciblent probablement les patients plutôt que les hôpitaux directement, car les patients utilisent souvent ces applications pour visualiser leurs propres images médicales, le risque pour les HDO reste significatif. Dans des scénarios où les patients apportent des appareils infectés dans les hôpitaux pour un diagnostic, ou dans des programmes émergents tels que les hôpitaux à domicile, qui dépendent de la technologie des patients, ces infections pourraient se propager au-delà des appareils individuels des patients, permettant aux cyberacteurs de potentiellement obtenir un point d’entrée initial dans les réseaux de soins de santé.
Pour minimiser les risques et prévenir l’accès non autorisé, les HDO doivent mettre en œuvre les mesures d’atténuation des risques suivantes :
– Évitez de télécharger des logiciels ou des fichiers provenant de sources non fiables.
– Interdisez le chargement de fichiers depuis les appareils des patients sur les postes de travail de soins de santé ou d’autres équipements connectés au réseau.
– Mettez en place une segmentation réseau robuste pour isoler les appareils et réseaux non fiables (par exemple, le Wi-Fi invité) de l’infrastructure interne de l’hôpital.
– Assurez-vous que tous les points de terminaison sont protégés par des solutions antivirus ou EDR à jour.
– Surveillez en continu tout le trafic réseau et la télémétrie des points de terminaison pour détecter toute activité suspecte.
– Chassez proactivement les activités malveillantes alignées sur le comportement connu des cyberacteurs, assurant une détection et une réponse précoces.
**IoCs et Détails Supplémentaires**
Les indicateurs de compromission (IoCs) associés à cette campagne sont disponibles sur le flux de menaces Forescout Vedere Labs.