Infos

Volatile Cedar, premier groupe APT du Liban

Un groupe d’organisation attaques APT, intéressé par des cibles particulières, situées en majorité en Israël, utilise un implant malveillant très discret afin de voler des données auprès de groupes impliqués dans le gouvernement et la politique.

Le groupe, baptisé Volatile Cedar par les chercheurs de Check Point Software Systems, est actif depuis 2012 et serait lié aux autorités libanaises ou à des groupes politiques actifs dans ce pays.

"Jusqu’à ce jour, nous ne savions pas que les Libanais disposaient d’une certaine capacité en matière de cyberespionnage. Cela n’a toutefois rien de surprenant car ce n’était qu’une question de temps avant qu’un membre des autorités gouvernementales ou des grands partis politiques ne commence à développer des possibilités dans ce domaine" a déclaré Shahar Tal, directeur chargé de l’étude des vulnérabilités chez Check Point Software Technologies.

Shahar Tal a déclaré qu’un grand nombre des cibles confirmées étaient des organisations israéliennes ou de pays proches, comme la Turquie. On retrouve parmi ces cibles des entreprises du secteur de la défense, des télécommunications et de l’informatique, des médias et des institutions académiques.

L’implant, dénommé Explosive, est un Trojan d’accès à distance qui est doté de nombreuses capacités, non seulement en matière de vol de données des victimes, mais également au niveau de la dissimulation de sa présence pour les victimes et les logiciels de protection. L’implant n’a été utilisé que quelques fois et dès qu’il commence à être détecté par un logiciel antivirus ou une application de détection des intrusions, une nouvelle version est développée rapidement.

Check Point déclare avoir identifié cinq versions d’Explosive depuis sa première utilisation en 2012. A chaque fois, le malware s’est enrichi de nouvelles fonctions d’attaques ou de méthodes d’obfuscation. Les versions 1 à 3 ont rapidement évolué vers le chiffrement du trafic de réseau et l’ajout de la surveillance du Presse-papier et d’autres fonctions de surveillance, jusqu’à des versions plus rares du malware baptisées KS et Micro. KS ne communique pas via une backdoor : il place les données sur le serveur compromis afin que les individus malintentionnés puissent les déplacer plus tard. Micro, quant à lui, pourrait être le prédécesseur d’Explosive, mais Check Point n’a découvert que quelques exemplaires.

Au lieu de recourir au phishing pour réaliser l’infection initiale, la campagne de Volatile Cedar repose normalement sur l’attaque de serveurs Windows accessibles au public comme l’explique Check Point. Ces serveurs sont utilisés dans l’étape initiale de l’attaque avant de s’en prendre à d’autres machines dans le réseau cible.

"L’attaque par harponnage est la méthode privilégiée" explique Shahar Tal. "Elle constitue un moyen très efficace pour pénétrer dans un réseau. Si vous êtes doué en piratage, vous allez obtenir quelque chose sur ce serveur Web. Une fois dans le serveur Web, il n’y a en général pas beaucoup d’obstacles qui vous séparent de l’Intranet"

Shahar Tal a expliqué que certaines organisations sacrifiaient la sécurité des systèmes internes au profit des performances et misaient sur un périmètre de sécurité autour du serveur Web.

Il ajoute : "C’est un point unique qui ouvre les portes du réseau interne et qui ignoré par la majorité des pare-feu. Les gens ne le savent pas. Ils ne créent pas assez de segments dans le réseau car ils pensent que le serveur Web va bloquer tout. Le fait est qu’une fois qu’une application Web a été compromise, il n’y a aucune protection interne qui peut intervenir.

Une fois que les individus malintentionnés ont détecté un serveur public, ils y recherchent la présence éventuelle de vulnérabilités et s’ils en trouvent, ils introduisent un environnement d’exécution Web qui fera office de backdoor pour l’envoi des informations volées et des nouvelles commandes et configurations aux machines infectées, dont le Trojan Explosive.

"Ce Trojan permet aux individus malintentionnés d’envoyer des commandes à l’ensemble des cibles via un groupe de serveurs de commande. La liste des commandes contient toutes fonctions dont l’individu malintentionné a besoin pour gérer l’opération et extraire l’information des serveurs. Il s’agit entre autres de l’enregistrement des frappes au clavier, du contenu du Presse-papier, de la réalisation de captures d’écran, de l’exécution de commandes etc. comme l’indique le rapport. De temps à autres, principalement lorsqu’il faut extraire des volumes importants de données, l’individu malintentionné installe un tunnel SSH supplémentaire qui se connecte aux serveurs PLink gérés par les individus malintentionnés."

Check Point a indiqué que le Trojan Explosive se compose d’un fichier binaire exécutable et d’une DLL avec des appels API backend. Le fichier binaire contient la logique du Trojan tandis que la DLL contient les fonctions API exportées.

"Le fichier DLL d’Explosive est chargé dynamiquement par le fichier exécutable principal lorsque les circonstances l’exigent et il est déchargé lorsque l’action requise a été réalisée" peut ont lire dans le rapport. Il semblerait que cette répartition soit nécessaire pour permettre aux individus malintentionnés d’une part d’appliquer rapidement des correctifs de fonction et d’autre par, pour éviter la détection heuristique du fichier exécutable principal par les moteurs des logiciels antivirus et autres solutions de production les plus répandues.

Explosive crée plusieurs threads, dont un enregistreur de frappes, un enregistreur de presse-papiers, un dispositif de surveillance de la mémoire et des outils de vérification de la connexion avec le serveur de commande qui permettent de confirmer que les communications sont sécurisées avant d’envoyer les données ou de recevoir de nouvelles commandes. Ces commandes permettent de réaliser un vidage de l’historique de la navigation dans Internet Explorer, de voler les mots de passe enregistrés, d’obtenir les valeurs des clés de la base de registres, d’obtenir la liste des processus en exécution, de lancer une ligne de commande, d’envoyer des fichiers vers le serveur de commande, de supprimer certains fichiers, de récupérer le contenu d’un dossier, de supprimer les processus d’Explosive, de supprimer les traces et de redémarrer.

Bien que l’origine n’ait pas été définie à 100 %, Check Point a déclaré qu’elle possédait assez d’éléments pour attribuer une origine libanaise à cette menace ATP. Par exemple, les heures de compilation font référence aux heures de travail dans cette région. Les premiers serveurs de commande se trouvaient chez un hébergeur Internet au Liban, ce qui n’est pas typique pour les autres campagnes ATP. De même, les informations dans le DNS de certains serveurs de l’infrastructure pointent vers le Liban, à l’instar des coordonnées reprises dans le DNS lié à des comptes de réseaux sociaux axés sur la politique libanaise.

"On est loin du niveau des malwares de la NSA, mais ce Trojan n’est pas non plus l’œuvre de débutants" a déclaré Shahar Tal. Ils ne remplacent pas les micrologiciels mais implantent des fonctions furtives et suppriment ce qui pourrait provoquer une réaction des outils d’analyse. Ils compensent leur manque de connaissances techniques par une discipline dans l’exécution."

UPDATE

Kaspersky Lab a mentionné ses travaux sur l’infrastructure exploitée par la campagne Volatile Cedar. La société a décrit l’algorithme de sélection du serveur de commande utilisé par les backdoors du groupe.

Au début, les backdoors tentent de se connecter à un des serveurs de commande de la sélection statique qui les redirige vers d’autres serveurs. En cas d’échec de la connexion à ce serveur, elles passent à l’algorithme de création de domaines et vérifient s’il est possible de s’y connecter.

Le malware Explosion est identifié par les solutions de Kaspersky Lab sous le nom Trojan.Win32.Explosion. La société a dénombré à ce jour 31 versions. Trojan.Win32.Agent.adsct et Trojan-Dropper.Win32.Dycler.vhp apparaissent également dans la campagne Volatile Cedar.

Source :        https://threatpost.com/volatile-cedar-apt-group-first-operating-out-of-lebanon/111895

Volatile Cedar, premier groupe APT du Liban

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception