Publié le 11/06/2020 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Des chercheurs d'ESET ont découvert de nouveaux outils utilisés par le groupe Gamaredon dans leurs dernières campagnes malveillantes. Le premier outil cible Microsoft Outlook à l'aide d'un projet Microsoft Outlook Visual Basic for Applications (VBA) personnalisé. Il permet aux attaquants d'utiliser le compte de messagerie de la victime pour envoyer des mails de spearphishing aux contacts repris dans le carnet d'adresses. L'utilisation de macros Outlook pour diffuser des logiciels malveillants a rarement été vu par les chercheurs. Le deuxième outil est utilisé par le groupe APT notoirement actif pour injecter des macros et des références à des modèles distants dans des documents Office - Word et Excel. Les deux ont été conçus pour aider le groupe Gamaredon à se propager davantage dans des réseaux déjà compromis.
« Au cours des derniers mois l'activité de ce groupe a augmenté, avec des vagues constantes de courriels malveillants frappant les boîtes aux lettres de leurs cibles. Les pièces jointes aux mails sont des documents contenant des macros malveillantes qui, une fois exécutées, tentent de télécharger un grand nombre de types de malwares différents », explique Jean-Ian Boutin, qui dirige l’équipe Recherche en Menaces chez ESET.
Les derniers outils injectent des macros malveillantes ou des références à des modèles distants dans des documents existants sur le système. Ceci est un moyen très efficace de se déplacer dans le réseau d'une organisation, les documents étant régulièrement partagés entre collègues. De plus, grâce à une fonctionnalité spéciale qui altère les paramètres de sécurité des macros de Microsoft Office, les utilisateurs affectés ne savent pas qu'ils compromettent à nouveau leurs postes de travail chaque fois qu'ils ouvrent les documents.
Le groupe utilise des portes dérobées et des voleurs de fichiers afin d’identifier et de collecter les documents sensibles sur un système compromis. Ces documents sont alors téléchargés sur le serveur C&C. De plus, ces voleurs de fichiers ont la capacité d'exécuter du code arbitraire à partir du serveur C&C.
Il existe une différence majeure entre Gamaredon et les autres groupes APT - les attaquants font peu ou pas d'efforts pour rester sous le radar. Alors que leurs outils ont la capacité d'utiliser des techniques plus discrètes, il semble que l'objectif principal de ce groupe est de se propager aussi loin et aussi rapidement que possible dans le réseau de leur cible tout en essayant d'exfiltrer des données.
« Bien que l'utilisation abusive d'une boîte aux lettres compromise pour l’envoi de mails malveillants sans le consentement de la victime ne soit pas une nouvelle technique, nous pensons qu'il s'agit du premier cas, documenté publiquement, d'un groupe d'attaque utilisant des fichiers OTM et des macros Outlook pour y parvenir », ajoute Boutin à propos de la découverte d’ESET. « Nous avons pu collecter de nombreux échantillons différents de scripts, d’exécutables et de documents malveillants utilisés par le groupe Gamaredon tout au long de leurs campagnes. »
Le groupe Gamaredon est actif depuis au moins 2013. Il est responsable d’un certain nombre d’attaques, principalement contre des institutions ukrainiennes.
Les outils repris dans cette recherche ont été détectés par les produits ESET comme étant des variantes de MSIL/Pterodo, de Win32/Pterodo ou de Win64/Pterodo. Pour plus de détails techniques sur les derniers outils de Gamaredon, visitez le blog Gamaredon group grows its game sur WeLiveSecurity.com. Suivez la recherche d’ESET sur Twitter (ESET Research on Twitter) pour les dernières nouvelles d'ESET Research. Visitez aussi https://www.eset.com/be-fr/
A propos d’ESET
Depuis 30 ans, ESET® développe des logiciels et des services de sécurité IT de pointe destinés aux entreprises et aux consommateurs, partout dans le monde. Avec des solutions allant de la sécurité des terminaux et des mobiles jusqu’à des solutions de chiffrement et d’authentification à deux facteurs, les produits conviviaux et hautement performants d’ESET confère aux consommateurs et aux entreprises la tranquillité d’esprit nécessaire pour pleinement tirer parti des potentiels de leurs technologies. ESET assure une protection et une surveillance discrète 24 h sur 24, mettant les solutions de protection à jour en temps réel afin de garantir la sécurité des utilisateurs et les activités des entreprises, sans la moindre interruption. Les menaces en constante évolution requièrent une société spécialisée en sécurité IT qui soit elle-même évolutive. S’appuyant sur ses divers centres R&D de par le monde, ESET est la première société de sécurité IT à avoir décroché 100 récompenses Virus Bulletin VB100 et ayant identifié, sans exception, tous les maliciels en circulation et ce, sans interruption depuis 2003. Pour toute information complémentaire, consultez le site www.eset.com ou suivez-nous sur LinkedIn, Facebook et Twitter.
« Au cours des derniers mois l'activité de ce groupe a augmenté, avec des vagues constantes de courriels malveillants frappant les boîtes aux lettres de leurs cibles. Les pièces jointes aux mails sont des documents contenant des macros malveillantes qui, une fois exécutées, tentent de télécharger un grand nombre de types de malwares différents », explique Jean-Ian Boutin, qui dirige l’équipe Recherche en Menaces chez ESET.
Les derniers outils injectent des macros malveillantes ou des références à des modèles distants dans des documents existants sur le système. Ceci est un moyen très efficace de se déplacer dans le réseau d'une organisation, les documents étant régulièrement partagés entre collègues. De plus, grâce à une fonctionnalité spéciale qui altère les paramètres de sécurité des macros de Microsoft Office, les utilisateurs affectés ne savent pas qu'ils compromettent à nouveau leurs postes de travail chaque fois qu'ils ouvrent les documents.
Le groupe utilise des portes dérobées et des voleurs de fichiers afin d’identifier et de collecter les documents sensibles sur un système compromis. Ces documents sont alors téléchargés sur le serveur C&C. De plus, ces voleurs de fichiers ont la capacité d'exécuter du code arbitraire à partir du serveur C&C.
Il existe une différence majeure entre Gamaredon et les autres groupes APT - les attaquants font peu ou pas d'efforts pour rester sous le radar. Alors que leurs outils ont la capacité d'utiliser des techniques plus discrètes, il semble que l'objectif principal de ce groupe est de se propager aussi loin et aussi rapidement que possible dans le réseau de leur cible tout en essayant d'exfiltrer des données.
« Bien que l'utilisation abusive d'une boîte aux lettres compromise pour l’envoi de mails malveillants sans le consentement de la victime ne soit pas une nouvelle technique, nous pensons qu'il s'agit du premier cas, documenté publiquement, d'un groupe d'attaque utilisant des fichiers OTM et des macros Outlook pour y parvenir », ajoute Boutin à propos de la découverte d’ESET. « Nous avons pu collecter de nombreux échantillons différents de scripts, d’exécutables et de documents malveillants utilisés par le groupe Gamaredon tout au long de leurs campagnes. »
Le groupe Gamaredon est actif depuis au moins 2013. Il est responsable d’un certain nombre d’attaques, principalement contre des institutions ukrainiennes.
Les outils repris dans cette recherche ont été détectés par les produits ESET comme étant des variantes de MSIL/Pterodo, de Win32/Pterodo ou de Win64/Pterodo. Pour plus de détails techniques sur les derniers outils de Gamaredon, visitez le blog Gamaredon group grows its game sur WeLiveSecurity.com. Suivez la recherche d’ESET sur Twitter (ESET Research on Twitter) pour les dernières nouvelles d'ESET Research. Visitez aussi https://www.eset.com/be-fr/
A propos d’ESET
Depuis 30 ans, ESET® développe des logiciels et des services de sécurité IT de pointe destinés aux entreprises et aux consommateurs, partout dans le monde. Avec des solutions allant de la sécurité des terminaux et des mobiles jusqu’à des solutions de chiffrement et d’authentification à deux facteurs, les produits conviviaux et hautement performants d’ESET confère aux consommateurs et aux entreprises la tranquillité d’esprit nécessaire pour pleinement tirer parti des potentiels de leurs technologies. ESET assure une protection et une surveillance discrète 24 h sur 24, mettant les solutions de protection à jour en temps réel afin de garantir la sécurité des utilisateurs et les activités des entreprises, sans la moindre interruption. Les menaces en constante évolution requièrent une société spécialisée en sécurité IT qui soit elle-même évolutive. S’appuyant sur ses divers centres R&D de par le monde, ESET est la première société de sécurité IT à avoir décroché 100 récompenses Virus Bulletin VB100 et ayant identifié, sans exception, tous les maliciels en circulation et ce, sans interruption depuis 2003. Pour toute information complémentaire, consultez le site www.eset.com ou suivez-nous sur LinkedIn, Facebook et Twitter.