Le malware PoetRAT s’attaque au secteur de l’énergie

Un cheval de Troie d’accès à distance (RAT) nommé PoetRAT a été découvert dans un ensemble de campagnes ciblant le secteur de l’énergie, avec une multitude d’outils de post-exploitation pour enregistrer les frappes, enregistrer des séquences de webcams et voler les informations d’identification du navigateur.

Les chercheurs ont appelé le malware «PoetRAT» en raison de diverses références à des sonnets du dramaturge anglais William Shakespeare dans les macros qui étaient intégrées dans des documents Word malveillants faisant partie de la campagne.

Une analyse plus approfondie de PoetRAT et de sa distribution révèle une campagne soigneusement planifiée et très ciblée contre les secteurs publics et privés de l’Azerbaïdjan ainsi que contre les systèmes SCADA (système de contrôle et d’acquisition de données en temps réel).

«Nous avons observé un acteur utilisant plusieurs outils et méthodologies pour mener à bien sa chaîne d’attaque complète», ont expliqué Warren Mercer, Paul Rascagneres et Vitor Ventura de la société Cisco Talos, dans une analyse.

«Talos a identifié plusieurs documents de leurre au cours de cette campagne qui utilisaient tous des macros Visual Basic puis Python pour mener leurs attaques contre les victimes. Les cibles des adversaires sont très spécifiques et semblent être principalement des organisations azerbaïdjanaises dans les secteurs public et privé, en particulier les systèmes ICS et SCADA dans le secteur de l’énergie. »

velvetsweatshop

À l’heure actuelle, les chercheurs ont déclaré qu’ils ne savaient pas exactement qui se cache derrière le malware PoetRAT ou comment il le distribue. Cependant, étant donné que l’ancrage initial est établi via un document Word malveillant, les chercheurs pensent que les victimes sont amenées à télécharger le document par e-mail ou par un message sur les réseaux sociaux.

Distribution de PoetRAT

Les chercheurs ont découvert trois documents distincts distribuant le malware PoetRAT. Le premier, datant de Février 2020, révèle des images floues sans texte. L’une de ces images floues était le logo de la DRDO, l’Organisation de recherche et de développement pour la défense, du ministère de la Défense de l’Inde (des chercheurs ont cependant indiqué que l’Inde était aussi ciblée par ce malware).

En Avril, les chercheurs ont découvert deux documents distribuant PoetRAT, tous deux utilisant des leurres liés à la pandémie du coronavirus en cours. Le premier, qui contenait un contenu illisible, s’appelait «C19.docx», probablement une référence à COVID-19. Le second a été nommé «» Azerbaijan_special[.]Doc »(cette fois ayant évolué pour paraître plus réaliste) – celui-ci a été écrit en russe et est censé se faire passer pour un document du gouvernement azerbaïdjanais.

PoetRAT Azerbaijan

Tous les fichiers se trouvaient sur un serveur dont l’adresse est: hxxp://govaz[.]Herokuapp[.]Com/content/section_policies[.]Docx . Les chercheurs ont également découvert une campagne d’hameçonnage liée à ce serveur. Le but était de se faire passer pour la messagerie Web du gouvernement azerbaïdjanais et de dérober des informations d’identification.

«Nous pensons que cette page d’hameçonnage a été utilisée pour hameçonner les informations d’identification de la plate-forme gouvernementale azerbaïdjanaise», a déclaré Mercer. “Nous ne pouvons pas dire spécifiquement s’il y a eu une campagne d’hameçonnage similaire pour le secteur de l’énergie également.”

Le RAT PoetRAT

Pour tous ces documents, une fois les macros activées, un dropper de script Visual Basic est exécuté. Le script charge son propre document en mémoire, qui est un fichier ZIP («smile.zip») et qui contient un interpréteur Python, ainsi qu’un script Python qui est le malware PoetRAT en question.

Pendant ce temps, les macros Word décompressent et exécutent également un script principal appelé «launcher.py», qui vérifie l’environnement où le document est ouvert, pour s’assurer qu’il ne s’agit pas d’un sandbox (s’il a des disques durs inférieurs à 62 Go). S’il détermine qu’il se trouve dans un environnement sandbox, il supprime les scripts de logiciels malveillants.

“Nous avons observé une utilisation presque exclusive de Python pour l’opérateur de PoetRAT, au point où ils ont amené tout l’interprète de python avec eux sur les machines victimes”, a déclaré Mercer. «C’est assez intéressant parce que les exécutions de Python ne sont généralement pas soumises au même contrôle que, disons, Powershell, mais cela peut avoir des impacts tout aussi néfastes sur votre environnement.»

PoetRAT lui-même contient deux scripts principaux: “frown.py”, responsable des communications avec le serveur de commande et de contrôle (C2), et “smile.py”, responsable de l’exécution des commandes C2. Ces commandes obtiennent des informations système, prennent des captures d’écran, copient, compressent et masquent des fichiers et plus encore.

Au cours de la campagne, l’opérateur a déployé des outils de post-exploitation supplémentaires sur les systèmes ciblés, notamment un outil, «dog.exe», qui surveille les chemins d’accès au disque dur pour exfiltrer les informations via un compte de messagerie ou un protocole de transfert de fichiers (FTP), selon la configuration. Un autre outil, «Bewmac», permet à l’attaquant d’enregistrer avec la caméra de la victime. Les chercheurs sont également tombés sur d’autres outils, notamment un enregistreur de frappe(keylogger), un voleur d’informations d’identification de navigateur, une framework open source pour l’élévation de privilèges (WinPwnage) et un outil de pentesting et d’analyse de réseau open source (Nmap).

“Le pirate a surveillé des répertoires spécifiques, signalant qu’ils voulaient exfiltrer certaines informations sur les victimes”, ont déclaré les chercheurs. «L’attaquant voulait obtenir une image complète de la victime en utilisant un keylogger, des voleurs d’informations d’identification de navigateur ainsi que Mimikatz et pypykatz pour une nouvelle collecte d’informations d’identification… L’attaquant voulait non seulement des informations spécifiques obtenues auprès des victimes, mais également un cache complet d’informations relatives à leur victime. Ils auraient pu obtenir des informations d’identification et des informations potentiellement très importantes en utilisant ces techniques. »

Si cet article sur PoetRAT vous a plu, jetez un œil à notre article précédent.