D’après Trend Micro, publié le 11 décembre 2019

Trend Micro vous explique tout sur le retour de Waterbear : l’utilisation du API Hooking

Waterbear, utilise des malware modulaires capables d’inclure des fonctions supplémentaires à distance. Egalement associée au groupe de cyberespionnage BlackTech, ciblant les entreprises technologiques et les organismes gouvernementaux en Asie de l’Est . Par ailleurs responsable de certaines campagnes célèbres comme PLEAD et Shrouded Crossbow. Précedemment Waterbear était surtout utilisé pour le mouvement latéral, le décryptage et le déclenchement de charges utiles avec sa composante de chargeur. Dans la plupart des cas, les charges utiles sont des portes arrières qui peuvent recevoir et charger des modules supplémentaires. Cependant,  Trend Micro a découvert un morceau de charge utile de Waterbear avec un tout nouveau but. En effet, cacher ses comportements réseau d’un produit de sécurité spécifique par des techniques d’accrochage d’API. Trend Micro découvert que le fournisseur de sécurité est basé sur l’APAC, ce qui est conforme aux pays ciblés par BlackTech.

Le fait de savoir quelles sont les API spécifiques à crocheter pourrait signifier que les attaquants connaissent bien la façon dont certains produits de sécurité recueillent des informations sur les réseaux et endpoints. Et puisque le code source d’accrochage d’API adopte une approche générique, un extrait de code similaire pourrait être utilisé pour cibler d’autres produits à l’avenir et rendre Waterbear plus difficile à détecter.

L’équipe Config reste à votre disposition pour toute information complémentaire à l’adresse e-mail fr.sales@config.fr et au +33 (0)1 58 70 40 10.