IBM X-Force IRIS a frapper fort: Les pirates cachent la communication Malware C2

IBM X-Force IRIS a frapper fort: Les pirates cachent la communication Malware C2

Les pirates cachent la communication Malware C2 en simulant le trafic du site d'actualités
Par Ionut Ilascu

    18 mars 2020 17:06 0

Un groupe de cyberespionnage actif depuis au moins 2012 a utilisé un outil légitime pour protéger sa porte dérobée des tentatives d'analyse afin d'éviter la détection. Dans leur effort, les pirates ont également utilisé un faux en-tête d'hôte nommé d'après un site d'information connu.

La porte dérobée est désignée par les noms Spark et EnigmaSpark et a été déployée dans une récente campagne de phishing qui semble avoir été l'œuvre du groupe MoleRATs, la division à petit budget du Gaza Cybergang. Il s'agit de l'acteur responsable de l'opération SneakyPastes, détaillée par Kaspersky, qui s'appuyait sur des logiciels malveillants hébergés sur des services de partage gratuits comme GitHub et Pastebin.

Il existe de fortes indications que le groupe a utilisé cette porte dérobée depuis mars 2017, déployant des dizaines de variantes qui ont contacté au moins 15 domaines de commandement et de contrôle.

Des chercheurs de plusieurs cybersécurité ont suivi les campagnes de cet acteur menaçant et ont analysé les logiciels malveillants, les tactiques et l'infrastructure utilisés dans les attaques.
Tactiques d'évasion

L'acteur menaçant a tenté de masquer les signes de compromission à l'aide du logiciel Enigma Protector (on peut trouver sur 01Net)- un outil légitime pour "protéger les fichiers exécutables contre la copie, le piratage, la modification et l'analyse illégaux".

Sur la base des cibles observées et du thème des documents utilisés pour les leurres, cela ressemble à une attaque à motivation politique visant les arabophones intéressés par l'acceptation potentielle par la Palestine du plan de paix.

"Les adversaires utilisant EnigmaSpark se sont probablement appuyés sur l'intérêt important des destinataires pour les événements régionaux ou la peur anticipée suscitée par le contenu falsifié, illustrant comment les adversaires peuvent exploiter les événements géopolitiques en cours pour permettre une cyberactivité malveillante" - IBM X-Force Incident Response and Intelligence Services (IRIS)

La chaîne d'infection menant à l'installation de la porte dérobée EnigmaSpark a commencé avec la livraison d'un document Microsoft Word malveillant. Le fichier est écrit en arabe et invite le destinataire à activer l'édition pour afficher le contenu.

Les chercheurs ont découvert que le document obtient à partir d'un lien Google Drive(donc aucune détection par Google) un modèle Word malveillant intégré avec une macro pour fournir la charge utile finale "runawy.exe".
source : IBM X-Force IRIS

Pour protéger l'opération, les pirates ont ajouté des défenses telles que la protection de la macro avec un mot de passe et l'application d'un schéma de codage base64 sur la porte dérobée, qui était également stockée sur Google Drive.

De plus, le binaire du malware était emballé avec Enigma Protector qui ajoute une certaine résistance aux tentatives de piratage et de craquage.

Une autre précaution de la part des pirates est l'utilisation d'un faux en-tête d'hôte dans la requête HTTP‌ POST qui fournit des informations sur le système de la victime au serveur de commande et de contrôle (C2), qui était « nysura].[com. » Cependant, l'en-tête indique « cnet ].[com' comme destination.
Dénominateur commun

Une enquête X-Force (IRIS) a révélé que l'attaquant a utilisé cette technique avec d'autres binaires. Après avoir décompressé « runawy.exe », ils ont remarqué que le fichier résultant était le même que « blaster.exe », un binaire fourni par un exécutable compressé par Themida, un autre outil légitime qui ajoute une protection contre l'inspection ou la modification d'une application compilée.

Plusieurs fichiers ont été découverts car ils avaient en commun la chaîne unique « S4.4P » et le signataire du certificat cryptographique « tg1678A4 » : Wordeditor.exe, Blaster.exe (la version décompressée de runawy.exe et soundcloud.exe), HelpPane.exe , et taskmanager.exe.

Dans le cas de Blaster, la même astuce avec le faux en-tête d'hôte a été utilisée que dans le cas de « runawy », mais le véritable serveur de destination était différent (« webtutorialz[.]com »).
source : IBM X-Force IRIS
Recherche précédente

Le fichier binaire « runawy.exe », son serveur C2 et la chaîne unique ont déjà été documentés par des chercheurs d'autres sociétés de cybersécurité.

L'équipe Nocturnus de Cybereason a publié le 12 février une analyse technique de la porte dérobée Spark, détaillant les capacités du malware :

    Recueillir des informations sur l'hôte victime
    Cryptez les données collectées et envoyez-les aux attaquants via le protocole HTTP
    Télécharger d'autres charges utiles
    Enregistrez les frappes Enregistrez le son à l'aide du microphone intégré du système
    Exécuter des commandes sur la machine infectée

Au début du mois, Palo Alto Networks a détaillé la même charge utile runawy contenant Enigma qui a été livrée à l'aide d'un document Word les 31 octobre et 2 novembre 2019.

La porte dérobée Spark a été initialement documentée par des chercheurs de la société de cybersécurité Qi An Xin basée à Pékin, avec une version anglaise de la recherche publiée le 14 février 2019.

Les chercheurs de toutes ces entreprises attribuent la porte dérobée Spark au groupe MoleRATs, connu pour utiliser des logiciels malveillants disponibles sur les forums de hackers. Cependant, ils développent également des outils personnalisés, tels que Spark.

REF.:  https://www.bleepingcomputer.com/news/security/hackers-hide-malware-c2-communication-by-faking-news-site-traffic/