ActualitéCyberMalwareRansomware

Ukraine : quel est donc ce malware destructeur déguisé en ransomware ?

La crise entre la Russie et l’Ukraine ne date pas d’aujourd’hui. Son origine est historique mais s’est accélérée avec les événements de 2014 qui correspondent à l’annexion de la Crimée par la Russie. La tension est particulièrement forte dans la région du Donbass.
Une tendance au dégel s’était fait sentir avec l’arrivée de Volodymyr Oleksandrovytch Zelensky au pouvoir en 2019, notamment grâce à la signature d’accords de cessez-le feu en 2020, mais l’espoir était de courte durée.

Ces facteurs ajoutés à un contexte plus global, comme l’arrivée de Joe BIDEN au pouvoir, qui est pro Ukrainien et souhaite l’adhésion de l’Ukraine dans l’OTAN (ce qui déplait fortement à la Russie) expliquent la mobilisation des troupes militaires Russes et l’escalade de la violence ces derniers mois.

Malgré une tentative de dialogue entre les États-Unis, l’Europe et la Russie, la tension demeure. En effet l’Ukraine fait l’objet d’attaques cyber de grandes ampleurs, paralysant des agences gouvernementales (70 sites gouvernementaux), des sites de l’éducation nationale… aucune fuite de données n’est à déplorer pour l’instant.

L’Ukraine accuse la Russie qui nie toute implication dans ces cyberattaques.

L’attaque évoquée dans cet article s’appuie sur une publication de Microsoft [1].
Elle se présente sous la forme d’un ransomware déguisé, qui, au lieu de chiffrer de manière réversible avec demande de rançon, rend les ordinateurs hors-services.

De quoi parle-t-on ?

Cette attaque est composée en plusieurs étapes (« stage ») :

Stage 1

Le premier stage a pour but de piéger le MBR de la machine, et, au prochain reboot, détruit les données du disque.

Stage 2

Avant de commencer son action, ce binaire lance des commandes powershells offusquées afin de décaler l’action malveillante de quelques secondes, probablement pour évader les produits de sécurité.

En décodant, cela s’apparente à un sleep : Start-Sleep -s 10

Ensuite, il va chercher à télécharger un troisième stage via le CDN Discord (logiciel de messagerie écrit/vocal gratuit destiné au grand public) sous la forme d’un JPG, dont l’URL est écrit en dur dans le binaire du second stage:

https[:]//cdn.discordapp[.]com/attachments/928503440139771947/930108637681184768/Tbopbh.jpg

Stage 3

Ce JPG, qui n’en est pas un, est en fait le stage3 obfusqué. En effet, le stage3 désobfusqué semble être une dll avec deux fonctions :

  • désactiver Windows Defender
  • corrompre les fichiers de certaines extensions en écrasant une partie de leur contenu  :
    .3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

Il subsiste encore des doutes sur les intentions précises de ce malware.

Recommandations de TEHTRIS

Contre ces menaces, TEHTRIS recommande à tous ses clients et tous les lecteurs de cet article, comme conseillé par Microsoft de :

  1. Vérifier dans ses logs EDR/EPP toutes les exécutions dans les répertoires C:PerfLogs, C:ProgramData, C:, and C:temp, qui ont été vu comme porteur de cette menace. Sauf exception liée à un parc, ces dossiers ne devraient pas contenir d’exécutions légitimes.

    De même, vous pouvez vérifier les filename suivant : stage1.exe, stage2.exe, Tbopbh.*.

    De manière générale, grâce aux différents modules de l’EDR TEHTRIS (détection powershell, Sandbox, …), même si la menace n’était pas connue, elle aurait été détectée voire remédiée suivant la configuration appliquée.

  2. Vérifier dans les logs SIEM, par exemple proxy, l’URL du CDN Discord :
    https://cdn.discordapp[.]com/attachments/928503440139771947/930108637681184768/Tbopbh.jpg

    Le CDN Discord pouvant servir d’intermédiaire pour télécharger du contenu malveillant, si il n’est pas utile dans votre entreprise[2], vous pouvez considérer de simplement bloquer cette URL depuis certains réseaux (par exemple depuis le réseau des serveurs si ceux-ci ont accès à Internet).

Si vous possédez une instance de TEHTRIS DNS Firewall, elle peut être utilisée à la fois pour l’investigation et le blocage si souhaité.

TEHTRIS suit la menace de près et mettra l’article à jour si de nouveaux développements se font connaître.

Source :
[1] https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/
[2] https://www.proofpoint.com/us/blog/threat-insight/ta575-uses-squid-game-lures-distribute-dridex-malware

IOC

Type

Description

Objet

SHA256     

stage 1

a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92

SHA256     

Stage 2

dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78

SHA256     

Tbopbh.jpg (stage3, obfusqué)

923eb77b3c9e11d6c56052318c119c1a22d11ab71675e6b95d05eeb73d1accd6

SHA256   

frkmlkdkdubkznbkmcf.dll (stage3, decodé)

9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d

URL

 

https[:]//cdn.discordapp[.]com/attachments/928503440139771947/930108637681184768/Tbopbh.jpg

Chemin        

 

C:PerfLogs

Chemin        

 

C:

Chemin        

 

C:ProgramData

Chemin        

 

C:temp

Nom de fichier

 

Tbopbh.*

Nom de fichier

 

Stage1.exe

Nom de fichier

 

Stage2.exe

Nom de fichier

 

frkmlkdkdubkznbkmcf.dll 

Ligne de commande

 

powershell -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBzACAAMQAwAA==