Log4j : deux ans après, la menace persiste

Avez-vous bien patché Log4j ? Deux ans après la découverte d’une faille critique, l’utilitaire de journalisation reste la cible de malwares.

Parmi eux, deux chevaux de Troie et un downloader récemment portés à la connaissance du public. Cisco Talos les attribue à l’APT dit Lazarus, qu’on lie à la Corée du Nord.

Tous trois ont alimenté une campagne dont on a des traces à partir de mars 2023. Elle a notamment touché une entreprise agricole en Amérique du Sud et une société industrielle en Europe. Log4j en est le point d’entrée, sur des serveurs VMware Horizon exposés. Le déploiement du proxy HazyLoad permet ensuite de ne pas avoir à réexploiter systématiquement la faille.

Un cœur DLang et Telegram comme C2

L’un des trojans, nommé NineRAT, utilise des canaux et des bots Telegram comme serveurs de commande et de contrôle. Il est développé en DLang… comme les deux autres malwares. L’emploi de langages et de frameworks peu communs est un trait caractéristique de Lazarus, qui a déjà recouru, entre autres, à Qt et à PowerBasic pour des malwares comme MagicRAT et QuiteRAT.

NineRAT se compose d’un dropper qui écrit deux composantes sur le disque avant de s’autosupprimer. Le premier composant exécute le deuxième tout en étant mis à contribution pour établir une persistance. Cette séparation fonctionnelle favorise l’évasion et facilite la modification « discrète » de composants.

Il existe des variations, mais l’échantillon typique de NineRAT se connecte à deux canaux Telegram. La clé d’API de l’un d’entre eux est publique.
En partant de NineRAT, on a découvert le downloader, nommé BottomLoader. Il peut récupérer, par une commande PowerShell, une charge utile localisée à une URL codée en dur. Mais aussi interagir avec le C2. Et créer lui-même une forme de persistance au moyen d’un fichier .URL dans le dossier de démarrage.

Le nom du troisième malware (DLRAT) relfète sa nature : il est à la fois un trojan et un downloader.

Illustration © monsitj – Adobe Stock