CountLoader Broadens Russian Ransomware Operations With Multi-Version Malware Loader

CountLoader : Un Chargeur Malveillant au Service des Groupes de Ransomware Russes

Une nouvelle menace, nommée CountLoader, a été identifiée. Ce chargeur malveillant, disponible en versions .NET, PowerShell et JavaScript, est utilisé par des groupes de ransomware russes, possiblement affiliés à LockBit, Black Basta et Qilin. Il sert à distribuer des outils post-exploitation tels que Cobalt Strike, AdaptixC2, et un RAT (Remote Access Trojan) nommé PureHVNC RAT.

Des campagnes observées ciblent notamment des individus en Ukraine, utilisant des leurres de phishing basés sur des PDF et usurpant l’identité de la Police Nationale ukrainienne. La version PowerShell a déjà été signalée pour sa distribution via des leurres liés à DeepSeek.

Fonctionnalités et Mécanismes :

• Livraison de charges utiles : Capable de télécharger et d’exécuter des fichiers DLL et des installateurs MSI.
• Exécution de malwares : Utilise des méthodes diverses, y compris des fonctions prédéfinies pour identifier les appareils via des informations de domaine Windows.
• Collecte d’informations : Récupère des métadonnées système.
• Persistance : Crée des tâches planifiées se faisant passer pour des mises à jour Google Chrome.
• Manipulation du trafic : L’implant BrowserVenom peut rediriger le trafic réseau vers des proxys contrôlés par les attaquants.
• Techniques avancées : Emploie des utilitaires Windows légitimes (LOLBins) comme ‘certutil’ et ‘bitsadmin’, ainsi qu’un générateur de commandes PowerShell chiffrées “à la volée”.
• Emplacement de stockage : Utilise le dossier “Musique” des victimes comme zone de transit pour les malwares.

Vulnérabilités et Exploits :

L’article ne détaille pas de vulnérabilités spécifiques avec des identifiants CVE. Cependant, le mode opératoire repose sur des techniques de phishing, l’ingénierie sociale (fausses offres d’emploi, leurres avec ClickFix) et l’exploitation d’utilitaires système.

Points Clés :

• CountLoader est un chargeur polyvalent et sophistiqué.
• Il est activement utilisé par plusieurs groupes de ransomware russes.
• Il ouvre la voie à l’installation de malwares avancés et de RATs commerciaux.
• L’écosystème du ransomware russe est interconnecté, avec des opérateurswechselant de groupes et utilisant des outils communs.
• La confiance et les relations entre opérateurs sont des facteurs clés dans leur collaboration.

Recommandations :

Bien que l’article ne fournisse pas de recommandations explicites, il ressort implicitement la nécessité de :

• Sensibilisation à la cybersécurité : Former les utilisateurs à identifier les tentatives de phishing, les leurres et les documents suspects.
• Surveillance du réseau : Mettre en place des systèmes de détection et de prévention des intrusions pour identifier le trafic malveillant.
• Gestion des accès : Limiter les privilèges et contrôler l’accès aux systèmes critiques.
• Mises à jour régulières : S’assurer que tous les systèmes et logiciels sont à jour pour corriger les vulnérabilités connues.
• Utilisation d’antivirus et d’EDR : Déployer des solutions de sécurité robustes capables de détecter les malwares et les comportements suspects.
• Sécurisation des postes de travail : Désactiver ou restreindre l’utilisation des LOLBins lorsqu’ils ne sont pas nécessaires.

Source