“Karkoff”: 1 nouveau malware de “DNSpionage”

Le groupe responsable du fameux malware DNSpionage utilise maintenant une nouvelle variante du malware. Cette nouvelle variante se nomme Karkoff.

Le développement en continu du malware DNSpionage montre que le groupe responsable des attaques cherche à se doter de nouveaux outils pour éviter la détection

Découvert en Novembre l’année dernière, les attaques DNSpionage utilisaient des sites compromis et des documents malveillants pour infecter des PC avec le malware DNSpionage—un outil d’administration à distance qui utilise HTTP et DNS pour communiquer avec un serveur command and control (C&C) qui appartient au pirate.

Le DNS est l’équivalent du répertoire téléphonique de l’Internet, et s’il est altéré, il devient difficile pour chacun de discerner si ce qu’il voit en ligne est légitime.

Dans leur premier rapport, les chercheurs de Talos avaient indiqué que l’attaque DNSpionage visait diverses entreprises du Moyen-Orient ainsi que les domaines utilisés par l’administration des Emirats Arabes Unis.

L’attaque s’appuyait aussi sur deux sites Web d’offres d’emploi malveillants qui servaient à compromettre leurs cibles en leur transmettant des documents Microsoft Office avec des macros intégrées. Le malware supportait également la communication HTTP et DNS avec les attaquants. Dans une campagne DNSpionage distincte, les attaquants ont utilisé la même adresse IP pour rediriger les DNS légitimes de domaines .gov et d’entreprises privées. A chaque fois qu’il a pu compromettre un DNS, l’attaquant a soigneusement généré des certificats « Let’s Encrypt » pour les domaines redirigés. « Ces derniers fournissent gratuitement à l’utilisateur des certificats X.509 pour le protocole TLS (Transport Layer Security) », a déclaré Talos.

Selon un nouveau rapport publié par l’équipe de recherche Talos de Cisco, le groupe utilise de nouvelles tactiques, techniques et procédures pour améliorer l’efficacité de leurs opérations, rendant leurs cyber-attaques plus ciblées, organisées et sophistiquées.

Contrairement aux campagnes précédentes, ils font maintenant un travaille de reconnaissance de leurs victimes avant de les infecter avec leur nouveau malware, nommé Karkoff. Cela leur permet de choisir soigneusement leurs cibles pour éviter de se faire détecter.

“Nous avons identifié des superpositions d’infrastructure entre DNSpionage et Karkoff,” ont déclaré les chercheurs.

Durant la phase de reconnaissance, les pirates rassemblent des informations de système liées à l’environnement de travail, le système d’exploitation, le domaine, et la liste de processus en cours sur la machine de la victime.

karkoff dnspionage

“Le malware Karkoff cherche deux plateformes d’antivirus spécifiques: Avira et Avast. Si l’un de ces produits de sécurité est installé sur le système et identifié durant la phase de reconnaissance, un flag spécifique sera mis en place, et certaines options du fichier de configuration seront ignorées,” ont révélé les chercheurs.

Développé en .NET, Karkoff permet aux hackers d’exécuter du code arbitraire à distance sur les hôtes compromis en utilisant le serveur C&C.

Ce qui est intéressant c’est que le malware Karkoff génère un fichier log sur les systèmes, ce fichier contient une liste de toutes les commandes que le malware a exécuté avec un timestamp.

“Ce fichier log peut être utilisé pour créer une chronologie de l’exécution de commande, ce qui peut être très utile pour réagir à ce genre de menace,” ont expliqué les chercheurs.

“Une organisation compromise par Karkoff pourrait passer en revue ce fichier log et identifier toutes les commandes qui ont été exécuté sur leurs machines.”

Tout comme la campagne DNSpionage, les attaques semblent cibler la région du Moyen-Orient, incluant le Liban et les Emirats Arabes Unis (UAE).

Comment se protéger de Karkoff?

En plus de désactiver les macros et d’utiliser un bon logiciel antivirus, vous devriez rester vigilant et informé pour éviter de devenir une victime de Karkoff.

 Nous vous conseillons de suivre les mesures préventives suivantes :

  • Auditer et scanner votre système d’information afin de déterminer les failles puis procéder à les corriger en installant les patchs correctifs depuis les sources officielles.
  • Mettre en place des packs de sécurité pour la détection des intrusions (IPS / NIDS) et de contrôle de la bande passante de trafic réseau.
  • Mettre à jour vos systèmes d’exploitation, vos navigateurs Web et aussi les solutions anti-malwares que vous utilisez.
  • Implémenter un système de validation des enregistrements DNS (Domain-Based Message Authentication, Reporting & Conformance : DMARC) pour minimiser la réception des Spams et détecter les tentatives d’usurpation des e-mails.
  • Désactiver immédiatement les macros dans les fichiers Office (Lien).
  • Vérifier l’authenticité des expéditeurs avant la lecture de chaque message reçu par e-mail ou affiché sur votre mûr de Facebook / Twitter / Instagram et en cas de doute n’y répondez pas, ne cliquez pas sur les liens hypertextes ou les images qu’il contient et supprimer le immédiatement.
  • Appliquer des règles de filtrage rigoureuses pour sécuriser l’administration de vos serveurs à distance, l’accès aux partages réseaux et s’assurer de la robustesse des mots de passe des comptes utilisateurs et des administrateurs.
  • Blacklister les adresses IP suivantes : 107.161.23.204 – 192.161.187.200 et 209.141.38.71

Si cet article vous a plu, jetez un œil à notre article précédent.