REDUCTIONS JUSQU'A 95% A NE PAS MANQUER

11 octo

Cyberattaque : analyse du cas Microcin

Publié le 11/10/2017

Kaspersky Lab a mis au jour Microcin, une campagne malicieuse qui illustre une tendance qui voit émerger des attaques dangereuses à moindre coût.

Les chercheurs de l’éditeur ont observé une nouvelle tendance dans la façon dont opèrent les acteurs de menaces sophistiquées. De plus en plus, ces acteurs délaissent les techniques coûteuses, comme les vulnérabilités 0-day, au profit de campagnes de social engineering combinant plusieurs tactiques éprouvées et bien connues. Résultats ? Des cyber attaques émergent, qui sont extrêmement difficiles à détecter par les solutions de sécurité professionnelle traditionnelles.

LE CAS : MICROCIN

La découverte s’est faite en plusieurs étapes :

1. La solution Kaspersky Anti Targeted Attack Platform (KATA) a identifié un fichier RTF suspicieux. Le fichier intégrait un exploit pour un vulnérabilité Microsoft Office déjà bien connue, et même corrigée (CVE-2015-1641). Mais son code avait été drastiquement modifié.

2. Le document de spear-phishing était distribué via des sites s’adressant à un groupe très spécifique d’individus : des personnes cherchant à obtenir une aide au logement unique à la Russie et quelques pays voisins.

3. Le déclenchement de l’exploit entraîne l’installation d’un malware sur l’ordinateur de la victime.

4. Une fois le module principal installé, des modules additionnels sont téléchargés depuis le serveur de commande et de contrôle. Au moins l’un d’entre eux utilise la stéganographie.

5. Une fois la plate-forme malveillante entièrement déployée, le malware cherche des fichiers avec des extensions de type : .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt and .rtf.

6. Ils sont ensuite rassemblés dans une archive protégée par un mot de passe et transférés vers les organisateurs de l’attaque.

Globalement, les cyber criminels utilisent une multitude de techniques et de vecteurs d’infections connus et peu coûteux (lateral movement, backdoors, watering hole, etc.). Les attaquants exploitent également des outils légitimes comme des scripts PowerShell, largement utilizes dans les tests de pénétration.

Partager cet article :

Vous souhaitez reproduire cet article ?