Posté le juillet 7, 2022 à 7:52
DES CENTAINES DE RÉSEAUX WINDOWS TOUCHÉS PAR LE LOGICIEL MALVEILLANT « RASPBERRY ROBIN » – MICROSOFT
Le géant technologique Microsoft a annoncé qu’un logiciel malveillant baptisé « Raspberry Robin » avait infecté des centaines de réseaux Windows dans plusieurs secteurs. Bien que les menaces posées par les ransomwares soient plus courantes dans le cyberespace, les logiciels malveillants et les vers peuvent être très perturbateurs et causer des dommages à leurs cibles.
Bien que l’attaque ait été identifiée, il n’y a pas d’information sur le groupe de menaces responsable de l’attaque ou sur les raisons qui l’ont motivée. Selon le rapport, le logiciel malveillant compromet le système via des périphériques USB infectés. Il a été découvert en septembre dernier par les analystes du service de renseignement Red Canary.
Selon la société de cybersécurité Sekoia, il a été observé que le logiciel malveillant utilisait des périphériques NAS QNAP comme serveurs de commande et de contrôle (C2) en novembre de l’année dernière. Microsoft a ajouté que certains artefacts malveillants liés au ver ont été découverts en 2019, mais qu’il n’y avait alors aucun lien entre ces artefacts et le ver.
Les découvertes de l’équipe d’ingénierie de détection de Red Canary concordent avec celles de Redmond. Les deux parties ont détecté le logiciel malveillant sur les réseaux de plusieurs clients, dont certains appartiennent aux secteurs de la fabrication et de la technologie.
Les hackers n’ont pas accédé à l’exploit
Microsoft a déclaré que le ver se connecte à des adresses sur le réseau Tor. Cependant, les hackers n’ont pas encore réussi à exploiter l’exploit d’accès qu’ils ont obtenu lors de l’intrusion. Les preuves montrent qu’ils ont progressé dans l’accès au réseau puisque le logiciel malveillant est capable de contourner le contrôle des comptes utilisateurs (UAC) sur les systèmes infectés via des outils Windows légitimes.
Microsoft a fourni les détails de sa découverte dans un avis de renseignement sur les menaces et a mentionné spécifiquement que les clés USB infectées utilisées pour diffuser le logiciel malveillant contenaient un fichier malveillant .LNK.
Une fois que l’utilisateur a attaché le périphérique USB et cliqué sur le lien, le logiciel malveillant lance un processus msiexec en utilisant cmd.exe pour lancer le fichier infesté de logiciels malveillants stocké sur le disque. À partir de là, il peut infecter de nouveaux périphériques Windows et se connecte aux serveurs C2. Il utilise ensuite différents utilitaires Windows légitimes pour exécuter des charges utiles malveillantes.
Ces utilitaires Windows comprennent odbcconf, msiexec et fodhelper. Le premier est un outil utilisé pour configurer les pilotes ODBC tandis que l’outil msiexec est un composant de ligne de commande de Windows Installer. D’autre part, le fodhelper est une binaire légitime qui est utilisé pour gérer les fonctionnalités des paramètres de Windows.
Le logiciel malveillant n’est lié à aucun groupe de hackers
Les chercheurs de Red Canary ont noté que msiexec.exe est utilisé pour télécharger et exécuter des paquets d’installation légitimes, tandis que les adversaires peuvent profiter de l’outil pour diffuser des logiciels malveillants.
En outre, msiexec est utilisé par le logiciel malveillant pour assurer la communication du réseau externe avec un domaine malveillant afin de se connecter aux serveurs C2. Il permet de maintenir active la communication entre les propriétés du logiciel malveillant et les serveurs centraux de contrôle.
Les chercheurs en sécurité qui ont découvert le logiciel malveillant dans la nature ne l’ont associé à aucun groupe de menaces. Mais Microsoft a déjà qualifié la campagne de haut risque, car les acteurs de la menace sont capables de télécharger et de déployer des logiciels malveillants supplémentaires sur les réseaux des cibles. Les attaquants ont la possibilité d’augmenter leurs privilèges au sein du réseau, ce qui rend la campagne très dangereuse, selon le géant technologique.
Le logiciel malveillant utilise des fichiers LNK
Les chercheurs ont également déclaré que le ver utilise des fichiers LNK et prend les icônes des périphériques amovibles pour diffuser le logiciel malveillant. Outre les périphériques USB, le logiciel malveillant peut également être distribué via des partages réseau. Les fichiers LNK utilisent des méthodes courantes pour télécharger et exécuter le logiciel malveillant à partir d’un appareil infecté.
Le rapport de Sekoia indique que le logiciel malveillant utilise un code très sophistiqué et très large. Cela a soulevé plus de questions que de réponses sur la nature de la menace que représente ce logiciel malveillant. Cela signifie que les développeurs de logiciels malveillants ont la possibilité d’accroître leurs capacités pour infecter davantage d’appareils et contourner les logiciels de sécurité. Les chercheurs de Microsoft ont averti que le logiciel malveillant pourrait être encore dans sa première phase de développement, bien qu’il soit très efficace pour le moment. Encore une fois, les acteurs de la menace n’ont pas commencé à le déployer sur les cibles visées, ce qui indique aussi qu’il peut encore être amélioré à l’avenir.
Bien que les recherches sur le logiciel malveillant soient en cours, Microsoft a indiqué que ce dernier est suffisamment puissant pour infecter plusieurs types d’appareils via les réseaux Windows. En conséquence, l’équipe de sécurité du géant technologique a averti les utilisateurs de toujours maintenir leurs systèmes à jour pour leur permettre d’éradiquer le logiciel malveillant. Cela permettra d’éviter toute violation de leurs systèmes ou réseaux.