Le groupe Gamaredon cible les utilisateurs d’Outlook

Le groupe Gamaredon a donné un coup de jeune à son ensemble d’outils malveillant avec l’ajout d’une nouvelle macro Visual Basic pour Applications (VBA). La macro VBA exploite les comptes de messagerie Microsoft Outlook des victimes compromises pour envoyer des e-mails d’hameçonnage à leurs contacts, ce qui élargit rapidement la surface d’attaque potentielle.

Les chercheurs disent que, bien que l’utilisation abusive d’une boîte d’e-mail compromise pour envoyer des e-mails malveillants ne soit pas une nouvelle technique, il s’agit du premier cas publiquement documenté d’un groupe d’attaque utilisant à la fois une macro Outlook et un fichier OTM pour le faire. Un fichier OTM stocke des macros écrites pour Microsoft Outlook.

“Au cours des derniers mois, il y a eu une augmentation de l’activité de ce groupe, avec des vagues constantes de courriels malveillants frappant les boîtes e-mails de leurs cibles”, selon Jean-Ian Boutin, chercheur chez ESET, dans une analyse. «Les pièces jointes à ces e-mails sont des documents contenant des macros malveillantes qui, une fois exécutées, tentent de télécharger une multitude de variantes de logiciels malveillants différents.»

microsoft outlook

Une fois que la victime est initialement compromise (généralement via un e-mail d’hameçonnage avec une pièce jointe malveillante), le code malveillant est d’abord livré dans une archive auto-extractible 7z. 7z sont des fichiers d’archive compressés créés avec le logiciel open source 7-Zip. Le code exécute un VBScript qui tue d’abord le processus Outlook de la victime (s’il est en cours d’exécution), puis supprime toutes les protections de sécurité autour de l’exécution des macros VBA dans Outlook en modifiant les valeurs du Registre.

Il enregistre ensuite un fichier OTM malveillant (utilisé pour stocker des projets Outlook VBA) sur le disque. Le fichier OTM contient une macro, la pièce jointe malveillante et, dans certains cas, une liste de destinataires auxquels les e-mails doivent être envoyés.

“Les macros Outlook VBA sont contenues dans le fichier OTM”, a expliqué Boutin. «Ils lancent Outlook… cela chargera ensuite le projet VBA malveillant chargé d’envoyer les e-mails depuis la boîte de réception compromise.»

Les cybercriminels utilisent ensuite le module pour créer et envoyer des e-mails à tous les membres du carnet d’adresses des victimes, à tous les membres des organisations des victimes et à une liste prédéfinie de cibles. Lors de la création d’un e-mail à envoyer aux contacts des victimes, le code VBA crée le corps et y joint le document malveillant (via les fichiers .docx et .lnk). Les exemples de courriels observés contiennent à la fois du texte anglais et russe.

Un exemple d’e-mail trouvé par les chercheurs était intitulé: «New Contact Email» et a demandé aux victimes d’ouvrir une pièce jointe intitulée «contact.docx», leur disant dans le corps de l’e-mail qu’ils avaient épuisé l’espace de stockage autorisé.

gamaredon

“En se basant sur le “envoyer à tous dans la liste de contacts” du code VBA malveillant, nous pensons que ce module pourrait avoir conduit certaines organisations à penser qu’elles étaient ciblées par Gamaredon alors qu’elles n’étaient que des dommages collatéraux”, a déclaré Boutin. “Par exemple, des échantillons récents envoyés sur VirusTotal provenant de régions qui ne sont pas traditionnellement ciblées par Gamaredon, comme le Japon, pourraient être expliqués par les actions de ce module.”

Futur de Gamaredon

Gamaredon a également continuellement mis à jour ses différents outils personnalisés qui ciblent l’exfiltration des données. Cela inclut un module de compilation C# qu’il utilise comme téléchargeur, un successeur C/C++ du module USBStealer (utilisé pour dérober des données) et un fichier batch/VBScript, utilisé pour analyser le système et trouver les documents sensibles.

Le groupe Gamaredon, actif depuis au moins 2013, est responsable d’un certain nombre d’attaques de grande envergure, notamment des attaques récentes contre des cibles de sécurité nationale ukrainiennes.

Les chercheurs ont déclaré que, bien que les outils utilisés par Gamaredon aient été historiquement très simples et conçus pour collecter des données sensibles à partir de systèmes compromis, le module Outlook VBA peut refléter la sophistication future des cyberattaques.

“Malgré la simplicité de la plupart de leurs outils, le groupe Gamaredon est également capable de déployer une nouveauté, comme leur module Outlook VBA”, ont déclaré les chercheurs. «Cependant, comme il est loin d’être furtif, à long terme, il n’est pas à la hauteur d’une organisation qui a des ressources. La variété d’outils dont Gamaredon dispose peut être très efficace pour prendre les empreintes digitales d’une machine et comprendre quelles données sensibles sont disponibles, puis les diffuser sur tout le réseau. Serait-ce juste un moyen de déployer une charge utile beaucoup plus furtive?»

Si cet article vous a plu, jetez un œil à notre article précédent.