Posté le mai 5, 2021 à 18:17
PLUS DE 50 ORGANISATIONS CIBLÉES PAR DEUX NOUVELLES VAGUES D’ATTAQUES DE LOGICIELS MALVEILLANTS
Un rapport récent a révélé que le phishing à l’échelle mondiale cible des organisations de différents secteurs avec de nouvelles souches de logiciels malveillants.
Les acteurs malveillants impliqués dans cette campagne de phishing diffusent les souches de logiciels malveillants par le biais d’appâts spécialement conçus, révèle le rapport.
L’attaque s’est déroulée en deux vagues, touchant une cinquantaine d’organisations le 2 décembre et le 11 décembre de l’année dernière.
Les acteurs malveillants ont mené deux vagues d’attaques distinctes
Les acteurs malveillants responsables de cette vague d’attaques ont été désignés sous le nom d’UNC2529. Ils utilisent des techniques très masquées pour éviter d’être repérés. Ils déploient également des charges utiles en mémoire chaque fois que cela est possible pour échapper à la détection.
L’équipe de sécurité Mandiant de FireEye a déclaré que le groupe malveillant a utilisé des e-mails de phishing tout au long des deux vagues d’attaques.
Les e-mails d’hameçonnage étaient accompagnés d’un document Excel ou, parfois, d’un téléchargeur Javascript qui téléchargeait un dropper Powershell en mémoire à partir des serveurs de commande et de contrôle (C2) des acteurs malveillants.
La porte dérobée est implantée dans le processus PowerShell lors de la première étape. Dans la deuxième étape, un plugin est chargé par la porte dérobée Doubleback et s’étend au serveur C2 pour recevoir des commandes et les exécuter sur l’appareil ciblé.
Mandiant a déclaré que l’ensemble du scénario montre que seul le téléchargeur est actif dans le système, les autres composants étant conservés dans une base de données du registre. Cela rend la détection du logiciel malveillant un peu plus difficile, notamment pour les moteurs antivirus basés sur les fichiers.
Les attaques de logiciels malveillants sont menées par des acteurs sophistiqués
Selon les chercheurs, les trois nouvelles familles de logiciels malveillants – Doubleback, Doubledrop et Doubledrag – sont l’œuvre d’acteurs malveillants sophistiqués.
Les deux vagues d’attaques distinctes ont ciblé des organisations aux États-Unis, en Australie, en Asie et dans la région EMEA, selon le rapport.
Un autre point intéressant de cette attaque est le fait que les messages de phishing envoyés aux victimes potentielles n’utilisaient pas les mêmes lignes d’objet et les mêmes adresses électroniques. Ils étaient spécifiquement dirigés vers certaines cibles pour obtenir un maximum de résultats des réponses de leurs cibles.
Dans certains cas, les acteurs malveillants agissent comme des responsables de comptes dans différents secteurs, notamment l’électronique, l’armée, les transports, la médecine et la défense. Les acteurs malveillants adaptent les e-mails de phishing en fonction du secteur qu’ils ciblent.
Plus de 50 domaines différents utilisés dans les attaques
Selon le rapport, les hackers ont utilisé plus de 50 domaines pour gérer le plan de phishing. Dans l’une de ses attaques réussies, UNC2529 a réussi à pirater un domaine détenu et exploité par un service commercial de chauffage et de climatisation aux États-Unis. Les acteurs malveillants ont modifié son enregistrement DNS et utilisé sa structure pour mener des attaques de phishing sur pas moins de 22 organisations.
Les e-mails de phishing contiennent des liens vers des URL avec des charges utiles de fichiers .PDF malveillantes. Ils contiennent également un fichier JavaScript avec une archive .zip, qui a été corrompue pour la rendre illisible par les utilisateurs.
Mandiant a également révélé que les hackers ont également envoyé un fichier .js hautement obscurci, contenant le téléchargeur Doubledrg. Dans d’autres campagnes malveillantes, les acteurs malveillants ont intégré une macro dans un document Excel pour délivrer la même charge utile.
Une fois que Doubledrag est exécuté, il télécharge un dropper pour la deuxième chaîne d’attaque.
Le Doubledrop est conçu pour prendre pied sur une machine infectée en chargeant une porte dérobée dans la mémoire, comme l’ont observé les chercheurs.
Le troisième logiciel malveillant est peut-être encore en cours d’élaboration
Le logiciel malveillant Doubleback est le troisième composant de logiciel malveillant qui a été créé pour avoir des versions 64 bits et 32 bits.
Selon Mandiant, il y a des raisons de penser que le logiciel malveillant est toujours en cours de développement et n’est pas encore achevé. La fonctionnalité recherche la présence de produits antivirus – tels que ceux produits par BitDefender et Kaspersky – mais même lorsque l’un d’entre eux est trouvé, elle ne prend aucune mesure.
Bien que Mandiant ne sache pas exactement quel est l’objectif principal des acteurs malveillants, ils ont été largement vus comme ciblant de grandes organisations au sein de leur division financière, en fonction de la puissance des logiciels malveillants et de leur déploiement éventuel.
