News Cybersécurité

BellaCPP : Nouvelle variante de malware BellaCiao découverte en C++

13 Jan

En un coup d’œil

Une nouvelle variante de malware BellaCiao baptisée BellaCPP a été détectée par Kaspersky, développée en C++ et associée au groupe de menace Charming Kitten. Cette découverte souligne l’évolution constante des outils de cyberattaque visant à contourner les mécanismes de détection traditionnels.

Le malware BellaCPP représente une sophistication croissante des techniques d’intrusion numérique. Les chercheurs mettent en évidence sa capacité à échapper aux systèmes de protection classiques, démontrant la nécessité d’une vigilance permanente dans le domaine de la cybersécurité.

Pour mieux comprendre des termes comme malware, intrusion numérique ou groupes de menace, consultez notre lexique cyber.

L’analyse approfondie révèle les mécanismes d’exécution et d’infection de ce nouvel outil malveillant, qui s’inscrit dans la continuité des versions précédentes de BellaCiao. Les experts soulignent l’importance de comprendre et d’anticiper ces évolutions pour maintenir une défense efficace contre les menaces émergentes.


Votre PME est-elle protégée contre les cyberattaques ?

 

BellaCiao: Analyse PDB

BellaCiao présente des chemins PDB extrêmement révélateurs qui exposent des détails cruciaux sur la campagne de cyberespionnage. L’analyse de plusieurs échantillons historiques révèle que tous les chemins PDB contenaient la chaîne “MicrosoftAgentServices”. Certains échantillons incluaient un chiffre unique comme “MicrosoftAgentServices2” ou “MicrosoftAgentServices3”. L’utilisation de ces entiers indique probablement un système de versioning permettant aux développeurs de malwares de différencier les diverses itérations et suivre leurs évolutions techniques.

Récemment, nous avons investigué une intrusion impliquant un échantillon BellaCiao (MD5 14f6c034af7322156e62a6c961106a8c) sur un ordinateur en Asie. Notre télémétrie a révélé un second échantillon suspect potentiellement lié, qui s’est avéré être une réimplémentation en C++ d’une version antérieure de BellaCiao.

BellaCPP

BellaCPP a été découvert sur la même machine infectée par le malware BellaCiao .NET. Il s’agit d’un fichier DLL nommé “adhapl.dll”, développé en C++ et situé dans C:\Windows\System32. Le fichier possède une unique fonction exportée nommée “ServiceMain”, suggérant qu’il est conçu pour fonctionner comme un service Windows.

Conformément à la fonction ServiceMain, le code exécute une séquence d’étapes similaires aux versions précédentes de BellaCiao :

  • Déchiffrer trois chaînes via chiffrement XOR avec la clé 0x7B : C:\Windows\System32\D3D12_1core.dll, SecurityUpdate, CheckDNSRecords
  • Charger le fichier DLL au chemin déchiffré et résoudre les fonctions des deux autres chaînes via GetProcAddress
  • Générer un domaine selon la méthode du BellaCiao .NET : ..systemupdate[.]info

Attribution

Nous évaluons avec une confiance moyenne à élevée que BellaCPP est associé au groupe de menace Charming Kitten, basé sur la représentation C++ des échantillons BellaCiao et l’utilisation de domaines précédemment attribués à cet acteur.

Charming Kitten continue d’améliorer son arsenal de familles de malwares en exploitant des outils publiquement disponibles. BellaCiao reste une famille particulièrement intéressante, ses chemins PDB offrant parfois des aperçus sur les cibles potentielles.

La découverte de BellaCPP souligne l’importance cruciale d’investigations réseau approfondies. Les attaquants peuvent déployer des échantillons inconnus, potentiellement invisibles pour les solutions de sécurité, leur permettant de maintenir un accès même après la suppression d’échantillons connus.

Pour conclure

La menace BellaCPP représente un danger critique dans le paysage actuel de la cybersécurité, notamment par son évolution constante sous l’impulsion du groupe Charming Kitten. Une stratégie de défense proactive est désormais indispensable pour contrer cette nouvelle variante de malware sophistiquée. L’investigation technique approfondie constitue la clé de la détection et de la neutralisation, impliquant un diagnostic complet des infrastructures réseau et des systèmes. Les organisations doivent mobiliser des compétences expertes pour identifier et démanteler ces menaces furtives qui échappent aux dispositifs de sécurité traditionnels. La vigilance permanente et une approche technique précise permettront de maintenir un bouclier efficace contre ces cyberattaques en constante mutation.

Source : https://securelist.com/bellacpp-cpp-version-of-bellaciao/115087/

Newer Malware Iranien : Attaque ciblée des systèmes SCADA sous Linux
Back to list
Older Restrictions américaines : Obstacle aux flux de données avec les pays préoccupants