Posté le octobre 1, 2022 à 5:59
DES HACKERS DÉPLOIENT COBALT STRIKE DANS UNE CAMPAGNE DE PHISHING CIBLANT LES DEMANDEURS D’EMPLOI
Une nouvelle campagne de phishing cible les demandeurs d’emploi aux États-Unis et en Nouvelle-Zélande. L’attaque cible ces demandeurs d’emploi à l’aide de documents malveillants en installant des balises Cobalt Strike qui offrent un accès à distance aux appareils des victimes.
Une campagne de phishing cible les demandeurs d’emploi aux États-Unis et en Nouvelle-Zélande
L’attaque de phishing en question se déroule en plusieurs étapes et est modulaire. La plupart des étapes utilisées par l’acteur de la menace reposent sur l’exécution de scripts cachés dans la mémoire de l’hôte. L’attaque a également été conçue pour fonctionner sans détection en manipulant le service d’hébergement de code Bitbucket.
La campagne de phishing a été détectée par des chercheurs de Cisco Talos. Ces chercheurs ont détecté deux campagnes de phishing qui visaient des demandeurs d’emploi et qui ont abouti à l’utilisation malveillante de Cobalt Strike.
D’autre part, les acteurs de la menace en question ont également conservé des copies d’Amadey et de RedLine Stealer à portée de main dans le référentiel de dépôt. L’intention était de faire en sorte que le déploiement du logiciel malveillant varie en fonction de la victime ciblée.
Ce qui est certain pour les chercheurs, c’est que les deux attaques ont commencé par un e-mail malveillant dans lequel le destinataire se voyait présenter une offre d’emploi lucrative. Les offres d’emploi semblent être proposées par le gouvernement fédéral Américain. Les e-mails semblent provenir de l’Office of Personnel Management (OPM) des États-Unis.
Dans d’autres cas, les acteurs de la menace envoient également un document malveillant qui semble provenir de la New Zealand Public Service Association (PSA). La PSA est l’un des principaux syndicats d’employés fédéraux du pays.
Les documents contiennent aussi un exploit pour la CVE-2017-0199. Il s’agit d’une faille d’exécution dans Microsoft Office qui a été largement exploitée. Microsoft a corrigé cette faille en avril 2017, mais au moment où le bug a été patché, il avait déjà été largement exploité.
L’un des cas les plus récents où ce bug a été exploité a été vu dans les dates d’entrée de juin 2019. À l’époque, le groupe APT, un acteur de la menace Iranien, a ajouté le bug à son arsenal pour déployer des attaques.
L’exploit réalisé grâce à cette faille se produit après l’ouverture d’un document par la cible. Cela entraîne le téléchargement du modèle de document Word. Le document en question est hébergé dans le référentiel Bitbucket.
La campagne est déployée à l’aide de PowerShell
La première méthode d’attaque utilisée par les acteurs de la menace consiste à exécuter plusieurs scripts Virtual Basic dans le modèle DOTM téléchargé. Cela se fait en décodant un données Blob, en le convertissant en un fichier HTA et en chargeant le script suivant via ShellExecuted.
Le script suivant décodera les données en un script PowerShell contenu dans la mémoire de l’hôte, et il sera exécuté sans utiliser le disque.
Le PowerShell crypté génère ensuite un autre script de téléchargement PowerShell. Ce script se connecte au dépôt Bitbucket pour télécharger un fichier DLL nommé « newmodeler.dll » au sein de la machine compromise. Il est ensuite téléchargé par l’intermédiaire de « rundll32.exe ».
Dans le cas relevé par les chercheurs de Talos, la DLL a été qualifiée de CobaltStrike. Ce dernier est un outil de test de pénétration qui a fait l’objet de nombreux abus. Cobalt Strike est également une suite de sécurité offensive.
La deuxième chaîne d’attaque est moins sophistiquée car elle utilise un exécutable de téléchargement. Cet exécutable est récupéré depuis Bitbucket et s’exécute en tant que processus sur l’ordinateur de la victime, ce qui augmente le risque de détection.
L’exécutable déploie ensuite une commande PowerShell qui télécharge la DLL de Cobalt Strike dans un autre répertoire. Après cela, la commande se supprime d’elle-même pour réduire le risque d’être détectée.
La balise Cobalt Strike permettra également aux acteurs de la menace de déployer des commandes à distance sur l’appareil affecté. Elle permet aux acteurs de la menace d’infiltrer des données et de les voler. En outre, l’infection peut aussi se propager dans le réseau compromis.
Dans le cas de C2, les balises communiquent via un serveur Ubuntu hébergé par Alibaba et basé aux Pays-Bas. Le serveur contient par ailleurs deux certificats SSL valides et auto-signés.
Les chercheurs de Cisco n’ont pas non plus fourni de détails d’attribution. Les méthodes utilisées dans les attaques sont également les mêmes que celles utilisées par différents auteurs allant des attaquants d’espionnage aux groupes de ransomware.
Cobalt Strike est l’un des outils les plus utilisés pour obtenir un accès initial aux réseaux d’entreprise, et ils se propagent latéralement à l’intérieur d’un seul, et il y a eu une augmentation des attaques de phishing diffusant des balises au cours des dernières années.
En 2021, les attaques de phishing d’Emotet ont commencé à déployer des attaques Cobalt Strike pour la première fois. Récemment, les attaques de phishing ont de même été utilisées pour cibler des dissidents en Russie et d’autres entités en Ukraine.
