Revoir WARMCOOKIE
Elastic Security Labs continue de suivre l'évolution de la base de code WARMCOOKIE, découvrant de nouvelles infrastructures liées à la porte dérobée. Depuis notre premier article, nous avons observé des mises à jour constantes de la famille de codes et une activité continue autour de la porte dérobée, y compris de nouvelles infections et son utilisation avec des chargeurs émergents. Une récente découverte de l'équipe X-Force d'IBM a mis en évidence un nouveau chargeur de logiciels malveillants en tant que service (MaaS), baptisé CASTLEBOT, qui distribue WARMCOOKIE.
Dans cet article, nous passerons en revue les nouvelles fonctionnalités ajoutées à WARMCOOKIE depuis sa publication initiale. Ensuite, nous présenterons les informations de configuration extraites de différents échantillons.
Principaux points abordés dans cet article
- La porte dérobée WARMCOOKIE est activement développée et distribuée.
- Campaign ID, un marqueur récemment ajouté, permet de cibler des services et des plates-formes spécifiques.
- Les opérateurs WARMCOOKIE semblent recevoir des variantes qui se distinguent par leurs gestionnaires de commandes et leurs fonctionnalités.
- Elastic Security Labs a identifié un certificat par défaut qui peut être utilisé pour suivre les nouveaux serveurs WARMCOOKIE C2.
Récapitulatif WARMCOOKIE
Nous avons publié pour la première fois des recherches sur WARMCOOKIE au cours de l'été 2024, détaillant ses fonctionnalités et la manière dont il a été déployé dans le cadre de campagnes d'hameçonnage sur le thème du recrutement. Depuis lors, nous avons observé plusieurs changements dans le développement du logiciel malveillant, notamment l'ajout de nouveaux gestionnaires, d'un nouveau champ d'identification de la campagne, l'optimisation du code et des ajustements d'évasion.
L'importance de WARMCOOKIE a été soulignée en mai 2025, lors de l'opération Endgame d'Europol, au cours de laquelle de nombreuses familles de logiciels malveillants de premier plan, dont WARMCOOKIE, ont été neutralisées. Malgré cela, nous constatons toujours que la porte dérobée est activement utilisée dans diverses campagnes de publicité malveillante et de spam.
Mises à jour WARMCOOKIE
Manipulateurs
Au cours de notre analyse de la nouvelle variante de WARMCOOKIE, nous avons identifié quatre nouveaux gestionnaires introduits au cours de l'été 2024, qui permettent de lancer rapidement des exécutables, des DLL et des scripts :
- Exécution du fichier PE
- Exécution de DLL
- Exécution d'un script PowerShell
- Exécution de DLL avec
Startexport
Les versions les plus récentes de WARMCOOKIE que nous avons recueillies contiennent la fonctionnalité d'exécution de DLL/EXE, la fonctionnalité de script PowerShell étant beaucoup moins répandue. Ces capacités exploitent la même fonction en transmettant des arguments différents pour chaque type de fichier. Le gestionnaire crée un dossier dans un répertoire temporaire et écrit le contenu du fichier (EXE / DLL / PS1) dans un fichier temporaire dans le dossier nouvellement créé. Ensuite, il exécute le fichier temporaire directement ou utilise rundll32.exe ou PowerShell.exe. Vous trouverez ci-dessous un exemple d'exécution de l'EP à partir de procmon.
Chaîne de la banque
Un autre changement observé a été l'adoption d'une liste d'entreprises légitimes pour les chemins d'accès aux dossiers et les noms des tâches programmées pour WARMCOOKIE (appelée "banque de chaînes"). Cela a pour but d'échapper à la défense et de permettre au logiciel malveillant de se relocaliser dans des répertoires d'apparence plus légitime. Cette approche utilise une méthode plus dynamique (une liste de sociétés à utiliser comme chemins de dossier, attribuée au moment de l'exécution du logiciel malveillant) par opposition au codage en dur du chemin dans un emplacement statique, comme nous l'avons observé avec les variantes précédentes (C:\ProgramData\RtlUpd\RtlUpd.dll).
Le logiciel malveillant utilise GetTickCount comme graine pour la fonction srand afin de sélectionner aléatoirement une chaîne dans la banque de chaînes.
L'illustration suivante montre un exemple de tâche planifiée avec le nom de la tâche et l'emplacement du dossier :
En recherchant quelques-uns de ces noms et descriptions, notre équipe a découvert que cette banque de cordes provient d'un site web utilisé pour évaluer et trouver des entreprises informatiques/logicielles réputées.
Changements mineurs
Dans notre dernier article, WARMCOOKIE passait un paramètre de ligne de commande en utilisant /p pour déterminer si une tâche planifiée devait être créée ; ce paramètre a été remplacé par /u. Il s'agit d'un changement mineur, mais supplémentaire, qui rompt avec les rapports précédents.
Dans cette nouvelle variante, WARMCOOKIE intègre désormais 2 mutex distincts de type GUID ; ceux-ci sont utilisés en combinaison pour mieux contrôler l'initialisation et la synchronisation. Les versions précédentes n'utilisaient qu'un seul mutex.
Une autre amélioration notable dans les versions les plus récentes de WARMCOOKE est l'optimisation du code. L'implémentation présentée ci-dessous est désormais plus propre, avec moins de logique en ligne, ce qui optimise la lisibilité, les performances et la facilité de maintenance du programme.
Configurations de mise en grappe
Depuis notre première publication en juillet 2024, les échantillons WARMCOOKIE comprennent un champ d'identification de la campagne. Ce champ est utilisé par les opérateurs comme une étiquette ou un marqueur fournissant aux opérateurs un contexte autour de l'infection, tel que la méthode de distribution. Vous trouverez ci-dessous un exemple de campagne dont l'identifiant est traffic2.
Sur la base des configurations extraites des échantillons au cours de l'année écoulée, nous émettons l'hypothèse que la clé RC4 intégrée peut être utilisée pour distinguer les opérateurs à l'aide de WARMCOOKIE. Bien que cela n'ait pas été prouvé, nous avons observé, à partir de divers échantillons, que certains modèles commençaient à émerger sur la base du regroupement de la clé RC4.
En utilisant la clé RC4, nous pouvons voir les chevauchements dans les thèmes de campagne au fil du temps, comme la construction utilisant la clé RC4 83ddc084e21a244c, qui exploite des mots clés tels que bing, bing2, bing3,et aws pour le mappage de la campagne. Il est intéressant de noter, en ce qui concerne ces artefacts de construction, que certaines constructions contiennent différents gestionnaires de commandes/fonctionnalités. Par exemple, la version utilisant la clé RC4 83ddc084e21a244c est la seule variante que nous ayons observée qui possède des capacités d'exécution de scripts PowerShell, alors que les versions les plus récentes contiennent des gestionnaires DLL/EXE.
D'autres identifiants de campagne semblent utiliser des termes tels que lod2lod, capo, ou PrivateDLL. Pour la première fois, nous avons constaté l'utilisation de domaines intégrés par rapport à des adresses IP numériques dans WARMCOOKIE à partir d'un échantillon de juillet 2025.
Aperçu de l'infrastructure WARMCOOKIE
Après avoir extrait l'infrastructure de ces configurations, un certificat SSL se distingue. Notre hypothèse est que le certificat ci-dessous est peut-être un certificat par défaut utilisé pour le back-end WARMCOOKIE.
Issuer
C=AU, ST=Some-State, O=Internet Widgits Pty Ltd
Not Before
2023-11-25T02:46:19Z
Not After
2024-11-24T02:46:19Z
Fingerprint (SHA1)
e88727d4f95f0a366c2b3b4a742950a14eff04a4
Fingerprint (SHA256)
8c5522c6f2ca22af8db14d404dbf5647a1eba13f2b0f73b0a06d8e304bd89cc0Détails du certificat
Notez que la date "Pas après" ci-dessus indique que ce certificat a expiré. Cependant, l'infrastructure nouvelle (et réutilisée) continue d'être initialisée à l'aide de ce certificat expiré. Il ne s'agit pas d'une infrastructure entièrement nouvelle, mais plutôt d'une reconfiguration des redirecteurs pour donner une nouvelle vie à l'infrastructure existante. Cela pourrait indiquer que les responsables de la campagne ne sont pas préoccupés par la découverte du C2.
Conclusion
Elastic Security Labs continue d'observer les infections par WARMCOOKIE et le déploiement de nouvelles infrastructures pour cette famille. Au cours de l'année écoulée, le développeur a continué à apporter des mises à jour et des modifications, ce qui laisse à penser que le jeu sera encore disponible pendant un certain temps. Compte tenu de son utilisation sélective, il continue de passer inaperçu. Nous espérons qu'en partageant ces informations, les organisations seront mieux équipées pour se protéger contre cette menace.
Logiciels malveillants et MITRE ATT&CK
Elastic utilise le cadre MITRE ATT& CK pour documenter les tactiques, techniques et procédures communes que les menaces persistantes avancées utilisent contre les réseaux d'entreprise.
Tactiques
Les tactiques représentent le pourquoi d'une technique ou d'une sous-technique. Il s'agit de l'objectif tactique de l'adversaire : la raison pour laquelle il effectue une action.
Techniques
Les techniques représentent la manière dont un adversaire atteint un objectif tactique en effectuant une action.
- Phishing
- Exécution par l'utilisateur : Lien malveillant
- Interprète de commandes et de scripts : PowerShell
- Recherche d'informations sur le système
- Tâche planifiée
- Capture d'écran
- Interprète de commandes et de scripts : Shell de commande Windows
- Suppression de l'indicateur : Relocaliser les logiciels malveillants
Détection des logiciels malveillants
La prévention
- Téléchargements suspects de PowerShell
- Scheduled Task Creation by an Unusual Process
- Suspicious PowerShell Execution via Windows Scripts (Exécution suspecte de PowerShell via des scripts Windows)
- RunDLL32 with Unusual Arguments (RunDLL32 avec arguments inhabituels)
- Windows.Trojan.WarmCookie
YARA
Elastic Security a créé les règles YARA suivantes pour identifier cette activité.
Observations
Les observables suivants ont été examinés dans le cadre de cette recherche.
| Observable | Type | Nom | Référence |
|---|---|---|---|
| 87.120.126.32 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| storsvc-win[.]com | Domain | Serveur WARMCOOKIE C2 | |
| 85.208.84.220 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 109.120.137.42 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 195.82.147.3 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 93.152.230.29 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 155.94.155.155 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 87.120.93.151 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 170.130.165.112 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 192.36.57.164 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 83.172.136.121 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 45.153.126.129 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 170.130.55.107 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 89.46.232.247 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 89.46.232.52 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 185.195.64.68 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 107.189.18.183 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 192.36.57.50 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 62.60.238.115 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 178.209.52.166 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 185.49.69.102 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 185.49.68.139 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 149.248.7.220 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 194.71.107.41 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 149.248.58.85 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 91.222.173.219 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 151.236.26.198 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 91.222.173.91 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 185.161.251.26 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 194.87.45.138 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| 38.180.91.117 | ipv4-addr | Serveur WARMCOOKIE C2 | |
| c7bb97341d2f0b2a8cd327e688acb65eaefc1e01c61faaeba2bc1e4e5f0e6f6e | SHA-256 | WARMCOOKIE | |
| 9d143e0be6e08534bb84f6c478b95be26867bef2985b1fe55f45a378fc3ccf2b | SHA-256 | WARMCOOKIE | |
| f4d2c9470b322af29b9188a3a590cbe85bacb9cc8fcd7c2e94d82271ded3f659 | SHA-256 | WARMCOOKIE | |
| 5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4 | SHA-256 | WARMCOOKIE | |
| b7aec5f73d2a6bbd8cd920edb4760e2edadc98c3a45bf4fa994d47ca9cbd02f6 | SHA-256 | WARMCOOKIE | |
| e0de5a2549749aca818b94472e827e697dac5796f45edd85bc0ff6ef298c5555 | SHA-256 | WARMCOOKIE | |
| 169c30e06f12e33c12dc92b909b7b69ce77bcbfc2aca91c5c096dc0f1938fe76 | SHA-256 | WARMCOOKIE |
Références
Les éléments suivants ont été référencés tout au long de la recherche ci-dessus :