La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • 243 organisations visées par le malware Qrypter RAT
  • Plusieurs organisations au Moyen-Orient et en Asie centrale victime d’une campagne d’attaques
  • Microsoft a détecté une campagne de minage de cryptomonnaie à grande échelle
  • Pinkkite, un nouveau malware ciblant les terminaux de points de ventes
  • Près de 5 millions d’appareils Android infectés par le malware RottenSys
  • Des informations sensibles du gouvernement britannique prises pour cibles par le groupe « APT15 »
  • Des informations sur des menaces informatiques provenant de nos sources arabes, espagnoles et chinoises
  • Focus sur le groupe jusqu’ici inconnu « Slingshot APT », la nouvelle backdoor du groupe « APT32 »

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

 

Menaces Sectorielles

Multisectorielle

243 organisations ciblées par le malware Qrypter RAT
Des chercheurs de Forcepoint ont annoncé le 14 mars dernier que 243 organisations dans le monde auraient été victimes d’un trojan au cours du mois de février. Le trojan, baptisé Qrypter RAT et développé par le groupe de pirates « QUA R&D » aurait été créé il y a quelques années. Il aurait été utilisé pour cibler des personnes demandant un visa américain en Suisse. Les chercheurs ont repéré trois campagnes de spam liées à Qrypter RAT et qui auraient touché 243 organisations au total. Le malware exécuterait deux fichiers VBS, et utiliserait des scripts pour collecter des informations sur le pare-feu et les antivirus installés sur le poste de la victime. Qrypter RAT gagnerait en persistance en utilisant le registre Windows, et de cette manière, le malware serait exécuté chaque fois que l’ordinateur redémarre. Le malware permettrait aux attaquants de se connecter à distance à la machine de la victime, d’accéder à sa webcam, de manipuler et d’installer des fichiers ainsi que de contrôler le gestionnaire des tâches. Le malware peut être loué pour 80 dollars. Les développeurs de Qrypter RAT fournissent un support à leurs clients via un forum qui compte plus de 2 300 membres inscrits. Une ancienne adresse Bitcoin utilisée pour recevoir les paiements des abonnements a reçu un total de 1,69 BTC (environ 7 000 euros). Les développeurs de Qrypter RAT sont très actifs et continuent de mettre à jour le malware pour le rendre indétectable aux antivirus.
En savoir plus

Campagne d’attaques ciblant des organisations au Moyen-Orient et en Asie centrale
Les chercheurs de Trend Micro ont annoncé le 12 mars dernier avoir découvert une campagne de cyber-espionnage ciblant la Turquie, le Pakistan et le Tadjikistan. Cette nouvelle campagne d’attaque semble liée à l’attaque « MuddyWater », une attaque avancée qui a visé l’Arabie saoudite en 2017 et qui a été menée via le logiciel Powershell (habituellement utilisé par le groupe « MuddyWater »), très difficile à détecter. Il semble que cette attaque se soit inscrite dans le cadre plus global d’une campagne massive de cyber-espionnage qui serait dirigée contre l’Arabie Saoudite. Selon Trend Micro, les pirates auraient utilisé des documents portant l’emblème du gouvernement de la République du Tadjikistan afin d’inciter le téléchargement des documents. Deux fichiers seraient téléchargés, l’un avec un script Visual Basic et le deuxième un script Powershell. Une fois installés, une porte dérobée serait ouverte pour permettre aux attaquants de recueillir des informations sur la machine de la victime, de prendre des captures d’écran et d’envoyer toutes les données aux serveurs de commande et contrôle (C&C).
En savoir plus

Cryptomonnaie

Campagne d’infection à grande échelle pour du minage de cryptomonnaie 
Microsoft a annoncé le 13 mars dernier que son système d’antivirus sur les PC (Windows Defender Antivirus) aurait bloqué environ 400 000 tentatives d’intrusions en 12 heures durant la journée du 7 mars. Le malware en question, baptisé Dofoil, se serait propagé à travers des pays de l’Europe de l’Est. D’après les chercheurs, Dofoil utiliserait une technique d’injection de code appelée « process hollowing » qui consiste à exécuter du code malveillant sous un processus légitime afin de ne pas se faire détecter : l’attaquant introduit un fichier binaire en .exe, qui ressemble à un fichier Windows. S’il passe la barrière de l’antivirus, le malware est automatiquement exécuté et tourne sans discontinuer utilisant les ressources du CPU de la machine infectée afin de miner une cryptomonnaie en continu. Le fichier est une application de type Dofoil (ou Smoke Loader) qui, selon Microsoft, présente des caractéristiques « techniques avancées d’injection croisée, de mécanismes de persistance et de méthodes d’évasion » .
En savoir plus

Finance

Pinkkite, une nouvelle famille de malware détectée visant les terminaux de points de ventes
Lors du rendez-vous annuel Kaspersky Security Analyst Summit, des chercheurs de la société de cyber sécurité Kroll Cyber Security ont annoncé avoir détecté une nouvelle famille de malware baptisée Pinkkite et ciblant les terminaux de points de ventes. Ce malware présenterait la particularité d’être peu volumineux (6 ko seulement, rendant ainsi sa détection plus difficile) et il se dispenserait d’un serveur de commande et contrôle (C&C). Les données des cartes bancaires seraient donc transmises manuellement via une session RDP à destination de trois serveurs de dépôts localisés en Corée du Sud, au Canada et au Pays-Bas. Les chercheurs n’ont pas partagé de détail sur les acteurs à l’origine de ce malware.
En savoir plus

Numérique

RottenSys ou l’hypothèse d’une campagne de malware organisée par un distributeur de mobiles neufs
L’équipe de chercheurs en sécurité de Check Point Mobile aurait découvert une nouvelle campagne de malwares permettant de collecter frauduleusement des recettes publicitaires. Usurpant un fournisseur de Wi-Fi, « RottenSys » aurait infecté près de cinq millions d’appareils depuis 2016. Plus précisément, ce sont les demandes peu habituelles émises par le service « 系统WIFI服务 » qui auraient intrigué les chercheurs, les conduisant à l’analyser. En effet, celui-ci émettrait des demandes de permissions pour des actions sensibles telles que l’accessibilité au service, au calendrier, ou encore pour télécharger des fichiers sans émettre de notification. Une fois les permissions collectées, deux techniques d’évasion permettraient au code malveillant de lancer le chargement de trois éléments via le serveur C&C. Une fois les modules additionnels chargés, RottenSys utiliserait un framework Android appelé Small et disponible sur la plateforme Github, de manière à lancer le fonctionnement simultané des appareils infectés et de faire apparaître des fenêtres publicitaires (en pop-up ou plein écran). Un deuxième framework open-source intitulé MarsDaemon empêcherait l’arrêt de l’activité malveillante. Des preuves collectées par les chercheurs démontreraient également qu’une attaque bien plus massive aurait été testée en février 2018. Le serveur C&C permettrait aux pirates d’interconnecter les appareils infectés de manière à obtenir un botnet.
L’hypothèse d’un malware présent dans l’appareil avant l’achat est émise par les chercheurs et pourrait lier cette campagne d’attaques à Tian Pai, société de personnalisation de mobiles neufs ayant vendu 49.2% des appareils infectés. Basé à Hangzhou, ce distributeur couvrirait les ventes de Samsung, HTC, Apple, Lenovo ou encore Huawei pour toute la région.
En savoir plus

Politique

Des informations sensibles appartenant au gouvernement britannique prises pour cibles par le groupe « APT15 »
« APT15 » – groupe de pirates appelé également K3chang, Mirage, Vixen Panda, GREF ou encore Playful Dragon – est connu pour être insaisissable selon les chercheurs en sécurité informatique. Néanmoins, la société NCCGroup semble avoir détecté de précieux indices sur leur mode opératoire. Pendant plus d’un an, les chercheurs auraient suivi le groupe afin de comprendre comment les pirates utilisent des outils adaptés à chacune de leurs cibles. Récemment, c’est une multinationale opérant pour le gouvernement britannique qui aurait été ciblée. Le réseau interne du groupe aurait été infecté de mai 2016 à fin 2017 dans le but d’extraire et de recueillir des informations internes aux ministères, notamment sur les technologies sensibles. L’outil Mimikatz, disponible en open-source, aurait permis aux attaquants d’obtenir les identifiants de l’administrateur du domaine, afin de s’introduire ensuite à distance sur le serveur de la victime. La complexité de l’attaque repose également sur l’utilisation de backdoors personnalisées dont certaines, encore inconnues, auraient été révélées à la suite de l’enquête menée par NCCGroup (RoyalCLI et RoyalDNS).
En savoir plus

Ecosystème Régional

Ecosystème moyen-oriental

Campagne d’attaques ciblant les qataris via l’application WhatsApp    
Le gouvernement qatari a alerté sur une campagne d’attaques massives ciblant les smartphones de ses citoyens.  Le journal qatari « Al-Sharq » a rapporté le 15 mars dernier que les qataris auraient affirmé, via les réseaux sociaux, avoir détecté des attaques ciblant leurs smartphones, et notamment l’application WhatsApp. Cette alerte est intervenue un jour après des tentatives de piratages visant l’université du Qatar ; des emails de phishing auraient été envoyés aux étudiants sans provoquer d’incidents.
Source

Ecosystème espagnol

Le leader du marché d’électricité espagnol ciblé par une campagne de phishing
L’Institut National de la Cybersécurité espagnol a récemment annoncé avoir détecté une large campagne de phishing ciblant les clients de la compagnie d’électricité Endesa, le leader du marché d’électricité et du gaz naturel en Espagne et au Portugal. Cette campagne, dont les auteurs sont pour l’instant inconnus, serait menée via des emails qui imiteraient parfaitement les courriels officiels de la compagnie. Les clients seraient ainsi informés qu’un double prélèvement aurait été effectué par Endesa sur leur compte, et par la suite invités à cliquer sur un lien inclus dans l’email pour confirmer une opération de remboursement. Le lien redirigerait les victimes vers un faux site Web d’Endesa qui les inviterait à saisir leurs identifiants personnels, ainsi que les informations figurant sur leur carte bancaire. Une fois ces informations saisies, les victimes recevraient également un message de confirmation de remboursement.
Source

Ecosystème chinois

Des équivalents chinois d’Adblock corrompus
D’après les chercheurs de Huorong Security qui ont publié un compte-rendu le 9 mars 2018, trois équivalents d’Adblock très populaires en Chine contiendraient du code malveillant. Il s’agit des dernières versions des logiciels chinois « ADsafe Clean Net Master » (aka « ADSafe jingwang dashi » ), « Ad-off Clean Net Guardian » (aka « qingwang weishi ») et « NewAdblock Filter Master » (aka « guanggao guolü dashi »), qui permettent de filtrer le contenu des pages Web, notamment la publicité. Tous les trois contiendraient des scripts similaires qui permettent de détourner le trafic d’une cinquantaine de sites très fréquentés, référencés d’avance dans le code pour que la redirection puisse se faire. La plupart de ces sites sont chinois (grandes plateformes d’e-commerce comme Taobao, Tmall, eshops de Huawei, Haier et Xiaomi, sites dédiés à la beauté, au voyage, etc), mais certains sites appartiennent également à des marques étrangères (Nike, Clarins, Coach, etc). Adsafe, Adoff et NewAdblock seraient capables de modifier les requêtes HTTP avant que celles-ci ne soient émises. La requête modifiée fait passer le navigateur par le site désigné par le code malveillant, qui récupère ainsi une partie du trafic, avant d’afficher la page demandée initialement, ce qui rend la manipulation presque indétectable.
Source

 

Individus & Groupes

« OceanLotus » : de nouveaux éléments sur les techniques d’attaque du groupe
ESET a publié le 13 mars dernier un rapport présentant les dernières découvertes collectées sur le groupe APT « OceanLotus » (aka APT32 et APT-C-00) connu pour s’attaquer à des cibles commerciales et gouvernementales en Asie du Sud-Est (Vietnam, Philippines, Laos, Cambodge). D’après ESET, le groupe aurait développé une nouvelle backdoor. Afin de distribuer cette dernière, « OceanLotus » procéderait en deux étapes. D’abord, l’envoi d’un injecteur (dropper) par l’intermédiaire d’un email de phishing élaboré (avec un document de leurre) ou via une attaque par point d’eau consistant à piéger un site (en proposant une fausse mise à jour de logiciel par exemple) que la victime est susceptible de visiter. Si ce dropper est exécuté avec des droits administrateur, celui-ci établit sa persistance sur le système et dépose plusieurs fichiers qui seront utilisés pour ouvrir la backdoor sur le système. Celle-ci permettrait notamment de renseigner les attaquants sur le nom de la machine infectée, ses utilisateurs, la version du système d’exploitation dans le but d’exécuter ensuite les commandes adéquates et de prendre le contrôle du système. Le groupe aurait recours à des communications chiffrées avec son serveur de commande et contrôle (C&C) qui s’appuierait sur plusieurs noms de domaines et adresses IP.
En savoir plus

Analyse du groupe « Slingshot APT », actif depuis 2012
En février dernier, l’équipe de chercheurs de Kaspersky aurait identifié une nouvelle stratégie d’attaque se basant sur l’emploi d’un loader baptisé « Slingshot ». Tout d’abord, « Slingshot » permettrait de remplacer la bibliothèque Windows de la victime par une copie malveillante possédant la même taille. Une fois inséré dans le serveur compromis, le code malveillant activerait à distance d’autres modules, tout en restant indétectable. Dans certains cas, les pirates auraient pu avoir accès au routeur sans fil Mikrotik afin d’y déposer des éléments téléchargés via le loader et infecter le routeur de l’administrateur. Ainsi, via l’activation de modules (dont Cahnadr et GollumApp), « Slingshot » rendrait possible la collecte de captures d’écran, de données système ou réseau, de mots de passe ou de toute autre activité de l’utilisateur. Cette découverte aurait permis aux experts de Kaspersky de remonter la piste d’un groupe APT en activité depuis 2012. Celui-ci, nommé « Slingshot » par extension, viserait des organisations, institutions et individus basés en Afrique et au Moyen-Orient. La qualité et la complexité de leur mode opératoire semblent être caractéristiques d’un groupe professionnel, possiblement soutenu par un Etat.
En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !