PlugX, le malware incontournable des attaques ciblées, est de plus en plus répandu

L’histoire de PlugX, l’outil d’administration à distance très répandu, qui a connu plusieurs transformations depuis 2008, comme tout autre malware, est bien connue. D’après les données des chercheurs, PlugX a atteint son pic de popularité en 2014 et il était le malware le plus souvent utilisé par de nombreux groupuscules criminels.

Cet outil a été utilisé dans de nombreuses attaques, surtout au cours du 2e semestre. Les enquêteurs se sont livrés à un travail de simulation sur la suite de la diffusion de PlugX, un malware qui permet aux individus malintentionnés d’enregistrer les frappes au clavier, de modifier et de copier des fichiers, de prendre des captures d’écran, d’arrêter des processus, de déconnecter des utilisateurs et de redémarrer l’ordinateur.

D’après un rapport publié par la société Crowdstrike et consacré aux menaces internationales, ce malware était déjà très populaire lorsqu’il a commencé à apparaître en 2014 dans des attaques ciblées. Bien qu’utilisé depuis plusieurs années déjà, il est devenu désormais l’outil principal dans l’arsenal de dizaines de groupes malveillants chinois dont l’activité est surveillée par la société.

Une des modernisations du malware, lancée en 2014, introduisait un nouveau moyen de communication avec l’infrastructure. Après la mise en œuvre d’un nouveau module de commande et de contrôle DNS, le malware a appris à envoyer les données aux échelons supérieurs de l’infrastructure sous la forme de longues requêtes DNS.

En modifiant la manière dont les requêtes DNS et HTTP sont produites, ce que Crowdstrike désigne comme un écart par rapport à "certains des protocoles généralement plus surveillés", ces groupes ont réussi à rendre la détection de PlugX plus difficile depuis environ un an.

"La tendance à la hausse dans l’utilisation de PlugX traduit une confiance accrue dans les capacités de la plateforme, ce qui justifie son utilisation continue dans de nombreux secteurs et pays" peut-on lire dans le rapport.

Un des groupes que la société Crowdstrike a surpris en flagrant délit d’insertion de PlugX sur des ordinateurs est un collectif de piratage qu’elle a baptisé Hurricane Panda. Ce groupe utilisait la nouvelle fonction DNS du malware pour substituer les données de quatre serveurs DNS, dont les enregistrements de domaines connu comme Pinterest.com, Adobe.com et Github.com. Le malware était capable de diriger les requêtes adressées à ces domaines vers le centre de commande de PlugX au lieu des adresses IP légitimes des sites en question.

Comme cela a été le cas par le passé, le malware se propage via des campagnes de harponnage. Certaines attaques exploitent une vulnérabilité 0jour du mois de mars (CVE-2014-1716) liée aux documents Microsoft Word ou RTF. D’autres utilisent d’anciennes failles bien connues dans PowerPoint et Excel similaires à CVE-2012-0158 qui ont également été exploitées dans les attaques IceFog, Red October et Cloud Atlas.

Bien que certains des groupes qui utilisent PlugX ont fourni de gros efforts pour enregistrer de nouveaux domaines afin de pouvoir exploiter l’infrastructure de commande et de contrôle du programme malveillant, nombreux sont les domaines des sept dernières années qui sont toujours actifs. Pour Crowdstrike, ceci est un autre indice du succès du malware et de sa persistance au fil des années.

La société avance deux théories pour expliquer cette présence du malware. Soit il existe un canal centralisé de diffusion du malware qui assure la promotion de PlugX auprès des pirates, soit des groupes qui n’avaient jamais utilisé PlugX antérieurement ont réussi à obtenir une copie via un référentiel partagé ou auprès de sources criminelles. Quoi qu’il en soit, s’il est vrai que le malware est utilisé principalement par des individus malintentionnés qui vivent dans des "pays aux alentours de la sphère d’influence chinoise", cette tendance pourrait rapidement changer comme le laisse penser le rapport. Le malware a été utilisé dans des attaques répétées contre des structures commerciales aux Etats-Unis ainsi que dans des attaques à motivation politique. Son déploiement rapide "pourrait servir de base à une utilisation généralisée à travers le monde".

"Le développement continu de PlugX confère une certaine souplesse aux individus malintentionnés, ce qui oblige les administrateurs de réseau à rester sur leurs gardes" signale le rapport de Crowdstrike.

Lien :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *