Une campagne récente montre que les attaquants n'ont plus besoin d'exploiter les vulnérabilités logicielles pour entrer dans les réseaux d'entreprise : il suffit de tromper les gens. Des chercheurs de l'entreprise BlueVoyant ont décrit comment les opérateurs malveillants communiquent par les équipes Microsoft avec les employés des organismes financiers et de santé pour gagner leur confiance et obtenir un accès à distance par l'outil d'aide rapide, puis déployer un nouveau malware qu'ils ont baptisé A0Porte arrière. Vous pouvez lire le rapport complet des analystes sur le blog de BlueVoyant Voilà..
Le vecteur initial est l'ingénierie sociale pure: avant d'envoyer le message par les équipes, les agresseurs saturent la boîte de réception de la victime avec des courriers à ordures de sorte que l'expédition subséquente semble légitime et urgente. Ensuite, ils posent comme personnel de soutien interne pour offrir de l'aide avec le problème des messages indésirables et de demander à la personne de commencer une séance d'aide rapide. Quick Assist est un outil Windows intégré conçu pour l'assistance à distance; Microsoft offre des conseils sur son utilisation et les risques dans son centre d'assistance fonctionnaire.
Une fois que l'attaquant obtient la session distante, il introduit une chaîne d'outils malveillants qui incluent les installateurs MSI qui semblent être des composants légitimes Teams et CrossDeviceService (un composant lié à l'application Phone Link). La chose inquiétante est que ces installateurs ont été signés numériquement et logés dans un compte personnel de stockage en nuage de Microsoft, ce qui aide à contourner les contrôles de détection de base.
La technique de persistance et d'exécution décrite par les chercheurs mélange l'ingénierie sociale avec des abus de mécanismes système valides. Les installateurs utilisent une technique appelée Chargement latéral DLL dans lequel un exécutable légitime porte une librairie malveillante placée avec le même nom attendu par ce binaire. MITRE documente ce type d'abus comme une forme fréquente de "séquestration du flux d'exécution" dans sa matrice ATT & CK. Dans ce cas, la librairie malveillante - identifiée comme hostfxr.dll par les analystes - contient des données compressées ou cryptées qui sont décryptées en mémoire pour devenir shellcode, puis déléguer l'exécution à ce code malveillant.
Pour rendre l'analyse difficile, le code malveillant crée de nombreux threads avec CreateThread, une manœuvre qui peut provoquer le débogage ou la consommation de ressources pendant l'analyse dynamique, bien qu'il ne semble pas affecter le fonctionnement normal du système. Le shellcode effectue des vérifications pour détecter les environnements de laboratoire ou de bac à sable, et calcule une clé dérivée de SHA-256 qu'il utilise pour déchiffrer le noyau de la porte arrière A0, qui est protégée par AES. Le malware est relocalisé en mémoire, découple ses routines essentielles et commence à collecter des informations d'hôte par des appels vers des API Windows telles que DeviceIoControl, GetUserNameExW et GetComputerNameW pour construire une empreinte informatique engagée.
Un autre composant sophistiqué est la façon dont le backdoor communique avec son centre de commande : il utilise les consultations DNS de type MX pour la résolution publique, plaçant les métadonnées codées dans des sous-domaines à forte entropie. Les serveurs de messagerie retournent les enregistrements MX contenant des commandes encodées; les logiciels malveillants extrait et décode l'étiquette plus à gauche du nom retourné pour récupérer les instructions ou les paramètres. Cette utilisation des enregistrements MX aide le trafic à se mêler à une activité légitime et peut éviter des détections plus orientées vers les techniques de tunnel DNS basées sur TXT. Si vous voulez mieux comprendre comment le DNS devient un canal d'exfiltration ou de contrôle et de contrôle, Cloudflare a divulgue du matériel Techniques de tunnelage DNS.
BlueVoyant indique que les objectifs confirmés comprennent une institution financière au Canada et une organisation mondiale de la santé. Les chercheurs apprécient avec une confiance modérée et élevée que la campagne partage des éléments avec les tactiques, techniques et procédures qui étaient liées au groupe derrière le BlackBasta Ransomware, un acteur qui avait été montré après la fuite de ses conversations internes. Cependant, la firme souligne qu'il y a de nouveaux développements dans cette attaque : l'utilisation d'installateurs MSI signés, de librairies malveillantes chargées par des binaires légitimes et de l'A0Backdoor elle-même avec son canal C2 par MX records sont des développements par rapport aux campagnes précédentes.
Quelles leçons pratiques cela laisse-t-il aux entreprises et aux utilisateurs? Tout d'abord, que la surface d'attaque inclut maintenant des canaux de collaboration tels que les équipes et les services d'assistance à distance; par conséquent, la formation du personnel doit intégrer de vrais scénarios où l'agresseur appelle ou écrit en posant comme un support. Au niveau technique, il convient de limiter l'utilisation de l'aide rapide ou d'exiger une vérification supplémentaire avant de commencer des séances à distance, de mettre en oeuvre des politiques qui empêchent l'installation de paquets MSI qui ne sont pas approuvés par le service informatique, et de renforcer l'enregistrement et l'inspection du trafic DNS pour détecter les consultations avec des sous-domaines à forte entropie ou des modèles inhabituels dans les dossiers MX.
Les solutions d'Endpoint Detection & Response (EDR) et les plateformes modernes de protection contre les menaces peuvent aider à identifier les modèles de chargement latéral DLL, l'exécution de code directement dans la mémoire et les comportements d'empreintes digitales du système. Il est également important que les équipes de sécurité corrélent anormalement les pics de courrier entrant avec les contacts ultérieurs des équipes ou d'autres plates-formes de messagerie interne, parce que ce "spam pattern d'abord, puis soutenir le remplacement" est une signature de campagne.
Pour les utilisateurs individuels, la recommandation est simple et directe: ne pas accepter la télécommande si vous ne faites pas confiance à l'interlocuteur et que vous ne pouvez pas vérifier son identité par un canal indépendant. Si quelqu'un prétend être IT, raccrochez et appelez le numéro officiel de votre ministère; ne suivez pas les instructions reçues par les messages opportunistes. Et si vous détectez quelque chose de suspect, signalez-le immédiatement afin que les équipes de sécurité puissent réagir et contenir une éventuelle intrusion.
Si vous voulez faire de la recherche technique, le rapport de BlueVoyant est la référence la plus complète disponible Voilà., tandis que des ressources comme la matrice ATT & CK de MITRE expliquer l'abus de DLL sideloading et documentation de Microsoft sur l'aide rapide détaille le fonctionnement de l'outil. La compréhension de ces différentes pièces permet de voir l'image complète : les attaquants combinent l'ingénierie sociale avec des techniques techniques avancées, et la défense doit répondre avec l'entraînement, les contrôles techniques et la surveillance spécialisée.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...