Rapport Trellix Threat Labs : Avril 2022

Lettre de notre analyste en chef

Bienvenue dans notre nouveau rapport sur le paysage des menaces.

À la lumière de ces premiers mois, le moins que l'on puisse dire, c'est que l'année a commencé en force. Alors que nous sortons lentement de la pandémie, les incertitudes à propos des récents conflits en Eurasie dominent notre quotidien et nos conversations.

Avant toute chose, Trellix est partisan de la paix. Quelles que soient les parties impliquées dans tout conflit, notre mission est de protéger nos clients et de respecter le droit international. À l'heure de la préparation de ce rapport, nous poursuivons nos recherches et maintenons notre vigilance. Par exemple, le groupe Lapsus$ s'en est pris aux grandes multinationales en ciblant tout particulièrement dans un premier temps des victimes sud-américaines et en divulguant des données sensibles, dont du code source et des certificats.

Nous avons observé plusieurs cas d'exploitation de ces certificats. Ces derniers sont par exemple utilisés pour signer des fichiers binaires malveillants dans l'intention de contourner les mécanismes de protection des systèmes d'exploitation et des produits de sécurité. Des informations complémentaires sur ce groupe, leur dernière compromission et les contre-mesures possibles sont disponibles ici.

Le rapport actuel, le deuxième depuis le lancement de notre nouvelle société, s'intéresse également aux événements (cyber) qui ont fait la une de l'actualité. Des attaques contre l'infrastructure ukrainienne au malware HermeticWiper, conçu pour détruire le secteur de démarrage de n'importe quelle machine infectée, la cybersécurité est au centre de toutes les préoccupations en ce début d'année. Ce rapport revient aussi sur le 4e trimestre 2021, marqué par la vulnérabilité Log4shell et son impact sur des centaines de millions de terminaux, et beaucoup se demandent ce que nous réserve l'année en cours.

Cela fait des années que l'équipe Trellix Threat Labs est l'un des fers de lance de la recherche sur les ransomwares. Suite à notre collaboration avec le secteur public, nous sommes heureux d'annoncer les arrestations de plusieurs membres d'un groupe spécialisé en ransomware et le démantèlement de ses opérations en décembre 2021. Les récentes publications des conversations du groupe de ransomware Conti et du groupe à l'origine du malware Trickbot ont révélé tout le professionnalisme dont font preuve ces cybercriminels pour mener leurs campagnes. Cela prouve combien nous avons besoin d'une réponse unifiée des secteurs privé et public pour déjouer ces attaques.

Par ailleurs, n'hésitez pas à consulter le blog de Trellix Threat Labs, qui propose des informations à jour sur les menaces, des vidéos et des liens vers le bulletin de sécurité.

Ce rapport met également en lumière d'autres menaces et attaques prévalentes observées.

— Christiaan Beek
Analyste principal

Christiaan Beek Twitter

Découverte d'une nouvelle campagne présumée du groupe APT DarkHotel par Trellix Threat Labs

En mars, Trellix a découvert la première phase d'une campagne malveillante qui ciblait des hôtels de luxe à Macao, en Chine, depuis la seconde quinzaine de novembre 2021. L'attaque a commencé par un e-mail de spearphishing adressé à divers membres de l'équipe de direction de l'hôtel — par exemple le directeur RH, le directeur adjoint et le chef de la réception. À la lumière des postes visés, on peut en déduire que les personnes ciblées disposent d'un accès suffisant au réseau de l'hôtel, y compris les systèmes de réservation. L'attaque se déroule comme suit :

• L'e-mail de spearphishing contient en pièce jointe une feuille Excel. La victime est invitée à ouvrir le fichier et à activer les macros malveillantes incorporées.
• Ces macros activent une série de mécanismes décrits dans la partie Analyse technique et présentés dans le déroulement de l'infection ci-dessous.
• Pour commencer, les macros créent une tâche planifiée pour effectuer la reconnaissance, répertorier les données et les exfiltrer.
• Ensuite, pour établir la communication avec le serveur C&C (Command and Control) utilisé pour exfiltrer les données des victimes, les macros utilisent une technique LOLBAS (Living Off the Land Binaries and Scripts) ; ce faisant, ils exécutent des lignes de commande PowerShell en tant que script approuvé.

Lisez notre article de blog pour plus d'informations sur le groupe APT DarkHotel, l'attribution de la menace, la campagne et l'analyse technique de l'attaque.

Identification d'une compromission du cabinet du Premier ministre par Trellix Threat Labs

En janvier, notre équipe a annoncé avoir identifié une campagne de cyberespionnage en plusieurs phases visant de hauts fonctionnaires responsables de la politique de sécurité nationale, ainsi que des acteurs du secteur de la défense en Asie occidentale. Trellix a veillé à informer au préalable les victimes et leur a fourni toutes les informations utiles en vue d'éliminer tous les composants malveillants connus de leurs environnements.

L'analyse du déroulement global de l'attaque a révélé que celle-ci commence par l'exécution d'un fichier Excel contenant un exploit de la vulnérabilité d'exécution de code à distance dans MSHTML (CVE-2021-40444). Celui-ci sert à exécuter un fichier DLL malveillant utilisé comme téléchargeur pour le malware de la 3e étape de l'attaque, que nous appelons Graphite. Graphite est un échantillon de malware récemment découvert. Basé sur un stager OneDrive Empire, il se sert de comptes OneDrive comme serveur de commande et contrôle (C&C) via l'API Microsoft Graph.

Les dernières phases de cette attaque en plusieurs étapes (associée selon nous à une opération APT) comprennent l'exécution de plusieurs stagers Empire. Leur mission est de télécharger un agent Empire sur les ordinateurs des victimes et à faire en sorte que le serveur C&C prenne le contrôle à distance des systèmes.

Le schéma suivant présente le déroulement global de cette attaque.

Lisez notre article de blog pour une analyse plus approfondie, dont les différentes phases, l'infrastructure et l'attribution.

Méthodologie

Les systèmes principaux de Trellix fournissent les données télémétriques que nous utilisons pour préparer nos rapports trimestriels sur le paysage des menaces. Nous combinons nos données télémétriques à celles de diverses sources de données publiques ainsi que nos propres investigations sur des menaces prévalentes telles que les ransomwares, les campagnes de groupes étatiques, etc.

Par télémétrie, nous entendons les données relatives aux détections, pas aux infections. Il s'agit des détections de fichiers, d'URL, d'adresses IP ou d'autres indicateurs par l'un de nos produits qui nous sont ensuite rapportées.

La confidentialité des informations de nos clients est capitale. Elle est également importante en matière de données télémétriques et de cartographie des secteurs et des pays de nos clients. Comme notre base clients varie selon les pays, les chiffres pourraient indiquer des augmentations qui peuvent s'expliquer par d'autres facteurs, exigeant une analyse plus approfondie. Le secteur des télécommunications, par exemple, affiche toujours des scores élevés. Cela ne signifie pas nécessairement que ce secteur est très ciblé. Le secteur des télécommunications inclut aussi des FAI qui possèdent des espaces d'adresses IP vendues à des sociétés. Qu'est-ce que cela signifie ? Les soumissions provenant de l'espace d'adresses IP du FAI sont attribuées au secteur des télécommunications, mais peuvent provenir en réalité de ses clients, lesquels opèrent dans un autre secteur.

Ransomwares

Au cours du dernier trimestre 2021, le paysage des ransomwares a évolué. Au lieu des attaques de grande envergure décrites dans le précédent rapport, les groupes de ransomware ont dû se trouver une nouvelle base clandestine et les forces de police ont commencé à démanteler plusieurs groupes connus. L'un d'entre eux, REvil/Sodinokibi, faisait toujours partie des toutes premières familles de ransomwares au 3e trimestre. Mais REvil a fini par disparaître après un démantèlement coordonné de son infrastructure, des dissensions internes et l'arrestation de plusieurs membres. Trellix est fier d'avoir participé à l'enquête sur REvil en effectuant l'analyse du malware, en localisant la principale infrastructure et en identifiant plusieurs suspects.

Les ransomwares Lockbit, Cuba et Conti occupaient les trois premières places du classement au 4e trimestre 2021. Nous pensons que les membres restants du groupe REvil ont trouvé un nouveau refuge avec ces familles de ransomwares.

Alors que nous terminons à peine de préparer ce rapport, le paysage a encore changé. Conti, devenu l'une des plus grandes familles de ransomwares, a vu des milliers de conversations internes publiées sur Internet, dévoilant leurs rouages. Nous avons baptisé ces fuites les « Panama Papers du ransomware » et nous y reviendrons plus en détail dans notre prochain rapport trimestriel.

Pour aider les entreprises à mieux comprendre les attaques par ransomware et à s'en protéger dans le paysage actuel des menaces, l'équipe Threat Labs présente ses observations et les conclusions de ses recherches sur la prévalence d'un large éventail de ransomwares, y compris les familles, les techniques, les pays, les secteurs et les vecteurs concernés pour le 4e trimestre 2021.