Zealot : s’infiltrer via Struts, se propager par SMB, et détourner des systèmes pour miner du Monero

Alors que leurs cours s’affolent, les crypto-monnaies ont plus que jamais la cote auprès des cyber-délinquants, entre vol de devises, extorsion et cryptojacking. Là, il s’agit de détourner les systèmes des victimes pour miner de la crypto-monnaie, à l’instar de ce que permet CoinHive pour les sites Web, parfois à l’insu de leurs visiteurs. Mais quitte à s’introduire sur un système d’information, pourquoi pas en détourner les hôtes pour faire de même ? C’est apparemment l’idée qu’ont eu les attaquants à la manœuvre avec Zealot.

La compromission commence par l’exploitation de deux vulnérabilités affectant Apache Struts : CVE-2017-5638, découverte en mars dernier, et CVE-2017-9822, dévoilée au mois de juillet. Là, tant les systèmes Linux que Windows apparaissent visés. Pour les premiers, des commandes shell sont utilisées pour charger du code Python encodé en Base64 et cachant en fait le processus de minage de crypto-monnaie, du Monero en l’occurrence.

Sous Windows, c’est PowerShell qui est mis à profit pour décoder deux fois un script consciencieusement caché. C’est lui qui va assurer le téléchargement du code de minage qui sera injecté comme une librairie dynamique directement dans le processus PowerShell pour plus de furtivité. Si Python n’est pas déjà installé sur la machine Windows compromise, le maliciel s’en charge : il utilise des scripts écrits dans ce langage pour assurer sa propagation sur le réseau interne, via le protocole SMB, en s’appuyant sur les toujours très populaires exploits EternalBlue et ExternalSynergy, attribués à l’agence américaine du renseignement, la NSA.

Sur les nouvelles machines Windows compromises, PowerShell est encore une fois utilisé pour télécharger et exécuter le code de minage de crypto-monnaie.

Les équipes de F5 relèvent que les auteurs de la campagne Zealot utilisent des outils largement disponibles, comme EmpireProject, mais soulignent le soin apporté à l’opération : les communications avec les serveurs de commande et contrôle, sur http, utilisent des entêtes spécifiques de description de navigateur et de cookie de session : pour quiconque ne disposant pas de ces informations, le serveur se gardera de présenter le code malveillant qu’il est chargé de servir. En outre, ses réponses sont chiffrées en utilisant l’algorithme RC4, avec une clé détenue par le script d’appel.

Et si Zealot peut rappeler Adylkuzz, les différences ne manquent pas. Plus simple, celui-ci se contentait de chercher des systèmes connectés à Internet, vulnérables aux exploits attribués à la NSA. Et il s’en contentait pour générer de la cryptomonnaire. Zealot, lui, va plus loin.