Pas de repos pour les cybercriminels. Ces dernières semaines le prouvent encore. Les attaquants ne manquent pas d’investir, de se diversifier, d’user de techniques toujours plus retorses.
TEHTRIS vous propose de faire un petit tour des campagnes et malwares qui font parler d’eux, et qui vont nécessiter toute notre attention.
Enemybot
Identité
Enemybot est un nouveau botnet DDOS basé sur Gafgyt, qui a pour cible les routeurs (Seowon Intech, D-Link, Netgear, Zhone) et les IOT.
Apparu mi-mars, il profite de l’anonymat du réseau Tor pour héberger son serveur.
Fonctionnement
Il emprunte plusieurs modules au code source original de et LolFMe. Leurs méthodes privilégiées restent les attaques par brute force et l’exploitation des vulnérabilités.
Plateformes concernées
Unix (IOT)
Impact et risque
Les adversaires peuvent prendre le contrôle des systèmes vulnérables. L’outil sert à faire du DDOS
Qui se cache derrière Enemybot ?
Keksec (aka : Necro ou Freakout), ils sont connus pour leurs attaques ciblant les fournisseurs de services cloud et pour leurs campagnes de cryptojacking.
Ils sont relativement récents dans le panorama cybercriminel puisqu’ils sont actifs depuis 2022.
Cryptorom : Le retour
L’attaque en soi n’est pas récente, elle a déjà fait de nombreuses victimes au Јароn, еn Сhіnе еt еn Аѕіе du Ѕud-Еѕt en 2021. Elle arrive aujourd’hui en Еurоре еt en Аmérіquе du Nоrd.
Elle diffère aujourd’hui par le perfectionnement de la technique, et l’utilisation d’une nouvelle plateforme, autre que Android, en profitant de deux nouvelles fonctionnalités iOS.
Identité
Campagne d’ingénierie sociale mondiale. Il s’agit d’une opération d’escroquerie bien organisée, basée sur des applications financières frauduleuses.
L’opération abuse du service Apple ”TestFlight Signature” pour augmenter le nombre de victimes et contourner la protection de l’App store.
Fonctionnement
L’amour rend il aveugle ? La campagne Cryptorom s’appuie sur ce vieil adage. L’opération consiste à approcher les victimes sur des sites de rencontres (Bumble, Tinder, Facebook Dating et Grindr) ou bien en discutant avec elles sur des plateformes de messagerie (WhаtѕАрр), puis une fois la confiance acquise, de les inciter à télécharger une application de trading de crypto monnaie (identique à Соіnbаѕе, RоbіnНооd, Віnаnсе оu Віtfіnех.) Bien sûr l’application est fausse. Une fois l’installation faite, la victime est prise au piège.
Plateformes concernées
iPhone, fonctionnalités iOS légitimes telles que TestFlight et Web Clips.
Impact
Les victimes sont piégées et se voient détourner leurs économies au profit des attaquants.
Adversaire
Le groupe derrière cette campagne est actif depuis 2021.
Serpent : La nouvelle porte dérobée
Identité
Il s’agit d’une campagne de courrier électronique ciblée découverte par nos confrères de Proofpoint, à destination de la France. Les secteurs de la construction, de l’immobilier et des entités gouvernementales sont concernés.
Fonctionnement
L’opération part, comme cela est bien souvent le cas d’une attaque de phishing.
Il s’agit d’un document Word contenant des macros, informant sur les règles RGPD[1].
L’exécution des macros entraînent l’activation d’un script PowerShell qui lui-même permet l’installation d’un utilitaire Chocolatey (Chocolatey est utilisé pour échapper à la détection), mais ce n’est pas tout, la campagne s’appuie également sur la stéganographie. Il s’agit d’une technique permettant de dissimuler une information dans une image, dans ce cas précis, il s’agissait Swiper the Fox (les aficionados de Dora l’exploratrice l’auront reconnu).
Tous ces ingrédients permettent au serpent d’arriver à ses fins sans se faire repérer.
Plateformes concernées
Windows
Impact
Permet à l’attaquant de prendre l’administration à distance, la commande et le contrôle (Command and Control, C2), le vol de données.
Adversaire
Il s’agirait d’un APT non identifié à ce jour. Il semblerait que la motivation soit l’espionnage, l’accès aux données.
Asyncrat
Identité
AsyncRAT est un outil d’accès à distance conçu pour surveiller et contrôler à distance d’autres ordinateurs. Il s’agit d’un outil open source, qui est bien souvent utilisé à des fins malveillantes.
Ces derniers mois, les chercheurs en cyber sécurité ont constaté une recrudescence de ces campagnes qui semblent exploiter une nouvelle version du 3LOSH RAT.
Fonctionnement
Les intrusions commencent bien souvent par du phishing (encore), qui n’est pas toujours repéré par les anti-malwares. D’où l’importance d’avoir une bonne technologie de détection, TEHTRIS avec sa technologie EDR veille à sécuriser votre environnement.
L’opération en question ici consiste à utiliser des images de disque ISO pour fournir AsyncRAT, LimeRAT.
Plateformes concernées
Windows
Impact
Créer un lien à distance entre le pirate et l’appareil de la victime. L’objectif étant l’espionnage, le vol de données.
Icedid
Identité
IcedID est un logiciel malveillant sous Windows actif depuis 2017, il n’est pas tout récent mais il continue à faire la une des journaux.
Au départ il était connu pour ses capacités à voler des identifiants bancaires, puis il a été utilisé pour pirater un domaine pour spammer des e-mails afin de diffuser IcedID. Il utilisait généralement des documents Office pour déposer des logiciels malveillants.
Le voici de retour fin mars : IcedID était caché en pièce jointe .zip d’un e-mail envoyé à une compagnie pétrolière ukrainienne.
L’opération vise les organisations de l’énergie, de la santé, du droit et de la pharmacie.
Fonctionnement
Une fois n’est pas coutume, la campagne démarre par…un e-mail de phishing qui semble légitime. Ce dernier contient une archive.zip (protégée par un mot de passe). Les acteurs derrière cette campagne utilisent des fichiers ISO avec un fichier de Windows LNK et une bibliothèque de liens dynamiques (DLL). Une fois le fichier exécuté IcedID se déploie.
Plateformes concernées
Microsoft Exchange
Impact
L’attaquant se sert du cheval de Troie pour réaliser une attaque ransomware
Adversaire
Bien que l’attribution soit difficile, des faisceaux de présomptions semblent établir la culpabilité de TA551 et TA577.
Des menaces de plus en plus nombreuses mais des solutions existent
Pas de répit pour les équipes de sécurité, qui continuent encore et toujours de protéger vos infrastructures.
TEHTRIS est aussi là pour vous aider. Nos solutions sont spécialement conçues pour surveiller votre infrastructure, pour détecter toutes anomalies de comportement et contrôler l’accès, grâce à notre technologie hyper automatisée. Nos solutions XDR sont essentielles pour obtenir une stratégie globale de sécurité.
Choisir TEHTRIS c’est choisir des solutions technologiques adaptées aux besoins et contraintes de votre système. Notre volonté ? atteindre un niveau de sécurisation plus complet et personnalisable pour vous aider à faire face à l’imprévisible.
Pour plus de renseignements nos équipes sont à votre disposition :
[1] Règlement général sur la protection des données