Publié le 18/07/2019 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
BRATISLAVA, le 18 juillet 2019 – Des chercheurs d’ESET ont découvert de nouvelles versions de la famille de malware liée à l’insaisissable groupe Ke3chang APT ainsi qu’une « Backdoor » encore non signalée. ESET a suivi le groupe APT, dont on pense qu’il fonctionne depuis plusieurs années à partir de la Chine.
La porte dérobée, découverte récemment et nommée Okrum par ESET, a été détectée pour la première fois à la fin 2016 puis au cours de l’année 2017. Elle était utilisée pour cibler des missions diplomatiques et des institutions gouvernementales en Belgique, en Slovaquie, au Brésil, au Chili et au Guatemala. Par ailleurs, depuis 2015 ESET a continuellement détecté de nouvelles versions de cette famille de malwares déjà connues et attribuées au groupe Ke3chang.
Lors de recherches remontant à 2015, ESET a identifié dans différents pays européens de nouvelles activités suspectes. Le groupe derrière les attaques semblait avoir un intérêt particulier pour la Slovaquie, mais la Croatie, la république Tchèque et d’autres pays étaient aussi affectés. En analysant le malware utilisé lors de ces attaques, les chercheurs d’ESET ont découvert qu’il était lié à la famille de malware attribuée au groupe Ke3chang. Ces nouvelles versions ont été surnommées Ketrican.
A la fin de 2016, les chercheurs ont découvert une nouvelle porte dérobée encore inconnue, qui, en Slovaquie, avait les mêmes cibles que celles utilisées par les portes dérobées Ketrican en 2015. La porte dérobée surnommée Okrum a été active tout au long de 2017.
« En rassemblant toutes les données, nous avons découvert que la porte dérobée Okrum était utilisée pour déposer une porte dérobée Ketrican, compilée en 2017. De plus, nous avons découvert que certaines entités diplomatiques affectées en 2015 par le malware Okrum et les portes dérobée Ketrican étaient également affectées en 2017 par les porte dérobées Ketrican,» explique Zuzana Hromcova, la chercheuse d’ESET qui a fait ces découvertes. « Le groupe est resté actif en 2019. En mars, nous avons découvert un nouvel échantillon de Ketrican,» ajoute-t-elle au sujet des activités les plus récentes de ce groupe particulièrement insaisissable.
Les recherches d’ESET fournissent les preuves attribuant la porte dérobée nouvellement découverte au groupe Ke3chang. Outres des objectifs partagés, Okrum a un mode de fonctionnement similaire à celui du malware Ke3chang. Okrum est uniquement pourvu des commandes de base d’une porte dérobée et s’appuie sur la saisie manuelle de commandes et l’exécution d’outils externes pour la plupart de ses activités malveillantes. Ceci était un mode de fonctionnement standard du groupe Ke3chang durant les campagnes étudiées précédemment.
Bien que le malware ne soit pas complexe techniquement, nous pouvons constater avec certitude que les auteurs malveillants derrière Okrum essayaient de passer inaperçus. Dans le malware Okrum, nous avons enregistré plusieurs techniques pour éviter la détection. La charge utile est cachée dans un fichier PNG. Lorsque ce fichier est lu dans une visionneuse, une image PNG inoffensive est affichée mais les chargeurs Okrum peuvent ainsi localiser un fichier supplémentaire crypté que l’utilisateur ne peut pas voir.
Les opérateurs du malware ont également essayé de cacher le trafic malveillant avec le serveur de commande et de contrôle dans le trafic réseau normal en enregistrant des noms de domaines d’apparence légitime :« Les échantillons utilisés contre les cibles slovaques étaient en communication avec un nom de domaine imitant un portail cartographique slovaque, » explique Suzana Hromcova.
Par ailleurs, les auteurs modifiaient fréquemment l’implémentation des composants du chargeur et de l’installateur Okrum afin d’éviter d’être détecter. Au moment de la publication, les systèmes ESET avaient détecté sept versions différentes de composants du chargeur et deux version de l’installateur, alors que la fonctionnalité était restée inchangée.
L’analyse technique et plus de détails au sujet des connexions se trouvent dans le livre blanc Okrum and Ketrican: An overview of recent Ke3chang group activity et le blog post Okrum: Ke3chang group targets diplomatic missions sur WeLiveSecurity.com.
Pour plus d’information sur l’offre de sécurité d’ESET et l’e-book gratuit, rendez-vous sur https://www.eset.com/be-fr/professionnels/data-protection-ebook/
La porte dérobée, découverte récemment et nommée Okrum par ESET, a été détectée pour la première fois à la fin 2016 puis au cours de l’année 2017. Elle était utilisée pour cibler des missions diplomatiques et des institutions gouvernementales en Belgique, en Slovaquie, au Brésil, au Chili et au Guatemala. Par ailleurs, depuis 2015 ESET a continuellement détecté de nouvelles versions de cette famille de malwares déjà connues et attribuées au groupe Ke3chang.
Lors de recherches remontant à 2015, ESET a identifié dans différents pays européens de nouvelles activités suspectes. Le groupe derrière les attaques semblait avoir un intérêt particulier pour la Slovaquie, mais la Croatie, la république Tchèque et d’autres pays étaient aussi affectés. En analysant le malware utilisé lors de ces attaques, les chercheurs d’ESET ont découvert qu’il était lié à la famille de malware attribuée au groupe Ke3chang. Ces nouvelles versions ont été surnommées Ketrican.
A la fin de 2016, les chercheurs ont découvert une nouvelle porte dérobée encore inconnue, qui, en Slovaquie, avait les mêmes cibles que celles utilisées par les portes dérobées Ketrican en 2015. La porte dérobée surnommée Okrum a été active tout au long de 2017.
« En rassemblant toutes les données, nous avons découvert que la porte dérobée Okrum était utilisée pour déposer une porte dérobée Ketrican, compilée en 2017. De plus, nous avons découvert que certaines entités diplomatiques affectées en 2015 par le malware Okrum et les portes dérobée Ketrican étaient également affectées en 2017 par les porte dérobées Ketrican,» explique Zuzana Hromcova, la chercheuse d’ESET qui a fait ces découvertes. « Le groupe est resté actif en 2019. En mars, nous avons découvert un nouvel échantillon de Ketrican,» ajoute-t-elle au sujet des activités les plus récentes de ce groupe particulièrement insaisissable.
Les recherches d’ESET fournissent les preuves attribuant la porte dérobée nouvellement découverte au groupe Ke3chang. Outres des objectifs partagés, Okrum a un mode de fonctionnement similaire à celui du malware Ke3chang. Okrum est uniquement pourvu des commandes de base d’une porte dérobée et s’appuie sur la saisie manuelle de commandes et l’exécution d’outils externes pour la plupart de ses activités malveillantes. Ceci était un mode de fonctionnement standard du groupe Ke3chang durant les campagnes étudiées précédemment.
Bien que le malware ne soit pas complexe techniquement, nous pouvons constater avec certitude que les auteurs malveillants derrière Okrum essayaient de passer inaperçus. Dans le malware Okrum, nous avons enregistré plusieurs techniques pour éviter la détection. La charge utile est cachée dans un fichier PNG. Lorsque ce fichier est lu dans une visionneuse, une image PNG inoffensive est affichée mais les chargeurs Okrum peuvent ainsi localiser un fichier supplémentaire crypté que l’utilisateur ne peut pas voir.
Les opérateurs du malware ont également essayé de cacher le trafic malveillant avec le serveur de commande et de contrôle dans le trafic réseau normal en enregistrant des noms de domaines d’apparence légitime :« Les échantillons utilisés contre les cibles slovaques étaient en communication avec un nom de domaine imitant un portail cartographique slovaque, » explique Suzana Hromcova.
Par ailleurs, les auteurs modifiaient fréquemment l’implémentation des composants du chargeur et de l’installateur Okrum afin d’éviter d’être détecter. Au moment de la publication, les systèmes ESET avaient détecté sept versions différentes de composants du chargeur et deux version de l’installateur, alors que la fonctionnalité était restée inchangée.
L’analyse technique et plus de détails au sujet des connexions se trouvent dans le livre blanc Okrum and Ketrican: An overview of recent Ke3chang group activity et le blog post Okrum: Ke3chang group targets diplomatic missions sur WeLiveSecurity.com.
Pour plus d’information sur l’offre de sécurité d’ESET et l’e-book gratuit, rendez-vous sur https://www.eset.com/be-fr/professionnels/data-protection-ebook/