Posté le décembre 29, 2022 à 7:49

DES HACKERS APT ET DES FAMILLES DE LOGICIELS MALVEILLANTS UTILISENT LES ADD-INS EXCEL POUR MENER LEURS ATTAQUES

Au cours des derniers mois, les acteurs de la menace ont modifié la manière dont ils mènent leurs attaques sur les applications Microsoft Office. Ces attaques ont été alimentées par l’action de Microsoft visant à bloquer par défaut les macros VBA (Virtual Basic for Applications) dans les fichiers Office téléchargés sur Internet. Les attaquants utilisent désormais les modules complémentaires d’Excel comme vecteur initial d’intrusion.

Les hackers APT utilisent les add-ins Excel comme vecteur d’intrusion initial

Un rapport publié par Cisco Labs indique que les acteurs APT (Advanced Persistent Threat) et les hackers spécialisés dans les logiciels malveillants utilisent les fichiers Excel (.XLL) comme vecteur d’intrusion initial lors de campagnes de logiciels malveillants.

Les documents Excel utilisés par les acteurs de la menace ont été envoyés aux cibles par le biais d’emails de spear-phishing et d’autres tactiques utilisées pour mener des attaques d’ingénierie sociale. Cela reste l’une des tactiques les plus populaires utilisées par les acteurs de la menace pour accéder aux appareils de la cible et exécuter un code malveillant.

Les documents Office qui ont été rendus dangereux par les attaquants invitent les victimes à exécuter des macros pour accéder à un contenu qui ne semble pas dangereux. Cependant, l’accès à ce contenu déclenche l’exécution du logiciel malveillant dans l’appareil de la victime. Les hackers ont configuré le logiciel malveillant pour qu’il fonctionne de manière furtive sans être détecté.

Pour contrer ces attaques malveillantes, Microsoft a soutenu un changement critique qui a débuté en juillet de cette année. Grâce à ce changement, Microsoft bloque les macros contenues dans les fichiers Microsoft Office qui ont été envoyés par courrier électronique. Cela coupe le vecteur d’attaque des hackers.

La fonction de blocage s’applique aux versions les plus récentes des applications Microsoft Office telles que Word, Excel, Access, PowerPoint et Visio. Les acteurs de la menace cherchent maintenant à contourner cette fonction de blocage en recherchant de nouveaux itinéraires d’infection qui seront utilisés pour déployer le logiciel malveillant.

L’une des méthodes explorées par les hackers consiste à utiliser des fichiers XLL. Microsoft a décrit ces fichiers comme un « type de fichier de bibliothèque de liens dynamiques (DLL) qui ne peut être ouvert que par Excel ». Selon les chercheurs de Cisco Labs, ces fichiers peuvent être ouverts par la victime sans qu’elle sache qu’ils sont malveillants.

Vanja Svajcer, chercheur chez Cisco Labs, a déclaré que « les fichiers XLL peuvent être envoyés par e-mail, et même avec les mesures habituelles d’analyse anti logiciels malveillants, les utilisateurs peuvent être en mesure de les ouvrir sans savoir qu’ils peuvent contenir du code malveillant. »

L’analyse menée par Cisco Labs la semaine dernière a révélé que les auteurs de la menace utilisaient plusieurs modules complémentaires programmés en C++. Certains de ces modules complémentaires ont également été créés à l’aide d’un outil connu sous le nom d’Excel-DNA. Cet outil a connu une augmentation notable de son utilisation depuis la mi-2021, et le nombre d’utilisateurs a continué à augmenter cette année.

Le premier cas documenté d’utilisation malveillante des fichiers XLL remonte à 2017. À l’époque, APT10, un groupe d’acteurs de la menace basé en Chine, a utilisé la technique pour lancer une porte dérobée en mémoire. TA410, qui entretient des liens étroits avec APT10, a également utilisé cette technique. Des familles de logiciels malveillants comme Agent Tesla, Arkei, Buer, Ducktail entre autres ont également utilisé cette stratégie d’attaque.

M. Svajcer a ajouté qu’à mesure que l’adoption des nouvelles versions de Microsoft Office se développe, les acteurs de la menace sont plus susceptibles de se détourner des documents malveillants conçus en VBA au profit d’autres formats comme les XLL ou d’utiliser des exploitations de vulnérabilités récemment détectées pour exécuter du code malveillant pour les applications Office.

Les macros Microsoft Publisher utilisent le cheval de Troie d’accès à distance Ekipa

Le cheval de Troie d’accès à distance Ekipa a été mis à jour en novembre 2022, ce qui lui permet d’exploiter les macros Microsoft Publisher et de déposer le cheval de Troie d’accès à distance pour accéder à des données sensibles. Ekipa a également été associé à la dernière technique d’utilisation des compléments Excel XLL pour lancer des campagnes malveillantes.

Un rapport de Trustwave indique qu’Excel n’est pas la seule application de Microsoft Office à être vulnérable à de tels exploits. Trustwave a noté que, comme pour Excel et Word, les fichiers Publisher pouvaient contenir des macros qui exécutent des commandes une fois que le fichier est ouvert ou fermé. Cela fait de ces fichiers des vecteurs d’attaque initiaux idéaux pour l’acteur de la menace.

Microsoft a mis en place des restrictions pour empêcher l’exécution de macros dans des fichiers téléchargés sur Internet. Cependant, ces restrictions ne s’appliquent pas aux fichiers Publisher, ce qui permet aux acteurs de la menace d’utiliser cette technique pour mener des campagnes de phishing.

Wojciech Cieslak, un chercheur chez Trustwave, a noté que le RAT Ekipa illustrait comment les hackers modifiaient leurs techniques d’attaque pour rester proactifs et ne pas être détectés et bloqués par les mécanismes de défense mis en place. Par conséquent, les créateurs du récent logiciel malveillant ciblant Microsoft Office suivaient les changements installés par Microsoft pour bloquer les macros, et ils ont modifié leurs tactiques en conséquence.