Un nouveau cadre de post-exploitation appelé EXFILTRATOR-22 (alias EX-22) a émergé dans la nature dans le but de déployer des rançongiciels au sein des réseaux d’entreprise tout en volant sous le radar.
« Il est livré avec un large éventail de fonctionnalités, ce qui fait de la post-exploitation un jeu d’enfant pour quiconque achète l’outil », CYFIRMA a dit dans un nouveau rapport.
Certaines des fonctionnalités notables incluent l’établissement d’un shell inversé avec des privilèges élevés, le téléchargement de fichiers, la journalisation des frappes, le lancement d’un ransomware pour chiffrer les fichiers et le démarrage d’une session VNC (Virtual Network Computing) en direct pour un accès en temps réel.
Il est également équipé pour persister après le redémarrage du système, effectuer un mouvement latéral via un ver, afficher les processus en cours d’exécution, générer des hachages cryptographiques de fichiers et extraire des jetons d’authentification.
La société de cybersécurité a évalué avec une confiance modérée que les acteurs de la menace responsables de la création du logiciel malveillant opèrent depuis l’Asie du Nord, de l’Est ou du Sud-Est et sont probablement d’anciens affiliés au rançongiciel LockBit.
Annoncé comme un logiciel malveillant totalement indétectable sur Telegram et YouTube, EX-22 est proposé pour 1 000 $ par mois ou 5 000 $ pour un accès à vie. Les acteurs criminels qui achètent la boîte à outils reçoivent un panneau de connexion pour accéder au serveur EX-22 et contrôler à distance le logiciel malveillant.
Depuis sa première apparition le 27 novembre 2022, les auteurs de logiciels malveillants ont continuellement itéré la boîte à outils avec de nouvelles fonctionnalités, indiquant un travail de développement actif.
Les connexions à LockBit 3.0 résultent de chevauchements techniques et d’infrastructure, les deux familles de logiciels malveillants utilisant le même façade de domaine mécanisme de masquage du trafic de commande et de contrôle (C2).
Le modèle PEFaaS (post-exploitation-framework-as-a-service) est le dernier outil disponible pour les adversaires cherchant à maintenir un accès secret aux appareils compromis sur une longue période.
Il rejoint également d’autres frameworks comme Manjusaka et Alchimist ainsi que des alternatives légitimes et open source telles que Cobalt Strike, Metasploit, Sliver, Empire, Brute Ratel et Havoc qui ont été cooptées à des fins malveillantes.
