Le trojan Bandook utilisé dans une campagne d’espionnage

Une vague de campagnes de cyberattaques fait son apparition dans le monde, utilisant la souche d’un cheval de Troie nommé Bandook qui est apparu pour la première fois il y’a 13 ans.

Selon Check Point Research, Bandook a été repéré pour la dernière fois en 2015 et 2017/2018, dans les campagnes «Operation Manul» et «Dark Caracal», respectivement. Le logiciel malveillant a alors pratiquement disparu du paysage des menaces, mais il est en train de réapparaître.

Selon la société, des dizaines de variantes de Bandook signées numériquement de ce malware de base apparaissent dans une variété inhabituellement grande de secteurs et de lieux. Les entités ciblées comprennent celles des secteurs gouvernementaux, financiers, énergétiques, alimentaires, de la santé, de l’éducation, de l’informatique et du droit. Et, ces entités se situent au Chili, à Chypre, en Allemagne, en Indonésie, en Italie, à Singapour, en Suisse, en Turquie et aux États-Unis.

«Cela renforce encore l’hypothèse précédente selon laquelle le malware n’est pas développé en interne et utilisé par une seule entité, mais fait partie d’une infrastructure offensive vendue par un parti-tiers aux gouvernements et aux cybercriminels dans le monde entier, pour faciliter les cyber-opérations offensives». selon des chercheurs de Check Point, dans une publication récente.

Une nouvelle vague d’attaques

Lors de ces dernières attaques, le logiciel malveillant arrive sur les ordinateurs des cibles sous la forme d’un document Microsoft Word malveillant livré dans un fichier .zip. Check Point a constaté que les thèmes des documents tournent autour de services de cloud comme Office365, OneDrive et Azure – les destinataires se voient promettre d’accéder à d’autres documents s’ils cliquent sur «Activer le contenu».

«Par exemple, l’un des documents qui a spécifiquement attiré notre attention présente un logo Office365 et un aperçu d’un certificat délivré par le gouvernement de Dubaï», ont expliqué les chercheurs. «JAFZA – Jebel Ali Free Zone, présentée en haut du document, est une zone industrielle entourant le port de Jebel Ali à Dubaï, où plus de 7 000 entreprises mondiales sont basées.»

malware

Une fois le document ouvert, les macros malveillantes sont téléchargées à l’aide de la fonctionnalité de modèle externe. Un modèle externe est téléchargé via un service Web de raccourcissement d’URL comme TinyURL ou Bitly, qui redirige vers un autre domaine contrôlé par l’attaquant; le modèle lui-même est invisible pour la victime.

Les macros chargent à leur tour une charge utile de deuxième étape: un script PowerShell chiffré dans le document Word d’origine.

«Le document de modèle externe contient un code VBA qui s’exécute automatiquement, déchiffre les données intégrées du document de leurre d’origine et dépose les données décodées dans deux fichiers dans le dossier utilisateur local: fmx.ps1 (le PowerShell de l’étape suivante) et sdmc. jpg (code PowerShell encodé en base64) », ont expliqué les chercheurs de Check Point. «Pour permettre ce comportement, les attaquants utilisent une combinaison de deux techniques: les données chiffrées sont incorporées dans un objet de forme dans le document d’origine (cachées par une petite taille de police et un premier plan blanc), et sont accessibles à partir du code de modèle externe. « 

Dans chaque attaque, après un certain temps, l’attaquant fait passer le modèle externe malveillant à un modèle bénin, ce qui rend l’analyse de la chaîne d’infection plus difficile, ont noté les chercheurs de Check Point.

Tout d’abord, le script PowerShell décodé télécharge un fichier .zip contenant quatre fichiers à partir d’un service cloud tel que Dropbox, Bitbucket ou un compartiment S3, ont expliqué les chercheurs de Check Point. Il est stocké dans le dossier Public de l’utilisateur et les quatre fichiers sont extraits localement.

«Trois des fichiers, a.png, b.png et untitled.png, sont utilisés par le script PowerShell pour générer la charge utile du malware dans le même dossier. Untitled.png, contrairement aux deux autres fichiers, est dans un format d’image valide », ont écrit les chercheurs. « Il contient une fonction RC4 cachée codée dans les valeurs RVB des pixels, créée à l’aide d’un outil connu appelé invoke-PSImage. »

Enfin, le script PowerShell exécute le logiciel malveillant, ouvre draft.docx et supprime tous les artefacts précédents du dossier Public. Draft.docx est un document inoffensif dont le seul but est de convaincre la victime que rien ne va pas.

Enfin, le script PowerShell télécharge et exécute la dernière étape de l’infection, qui est la porte dérobée Bandook elle-même.

Bandook

Bandook est un RAT(Remote Access Tool) complet, écrit en Delphi et C ++, qui a été créé en 2007 par un libanais surnommé PrinceAli, selon Check Point. Au fil du temps, plusieurs variantes du builder de ce malware ont été divulguées sur le Web et le logiciel malveillant est devenu publiquement disponible au téléchargement.

Le flux d’exécution de Bandook commence par un chargeur, écrit en Delphi, qui utilise le processus creux (processus hollowing) pour créer une instance d’un processus Internet Explorer, puis y injecter une charge malveillante. La charge utile contacte le serveur de commande et de contrôle (C2), envoie des informations de base sur la machine infectée et attend des commandes supplémentaires.

bandook

Cette variante particulière du malware Bandook ne fait pas partie de celles qui ont été divulgué sur le Web. Alors que les versions antérieures prenaient en charge une gamme de plus de 100 commandes, la nouvelle variante n’en prend en charge que 11, ont déclaré les chercheurs. Ceux-ci incluent la prise de captures d’écran, le téléchargement et l’envoi de fichiers, l’exécution de charges utiles Python et Java, etc.

En outre, le protocole de communication utilisé avec le C2 a également été mis à niveau pour utiliser le cryptage AES (une fonctionnalité non disponible dans les fuites publiques de Bandook), et des certificats Certum valides ont été utilisés pour signer l’exécutable du malware Bandook.

En plus des récents échantillons Bandook, Check Point a également identifié des échantillons supplémentaires de 2019 à 2020 qui n’étaient pas signés numériquement et contenaient environ 120 commandes.

«Plusieurs facteurs nous ont amenés à croire que ces variantes signées et non signées sont des variantes de Bandook spécialement conçues, utilisées et développées par la même entité», selon le rapport. «Tous deux utilisent les mêmes services d’enregistrement de domaine pour leurs domaines C2: Porkbun ou NameSilo; ils partagent une méthode de communication similaire, utilisant l’algorithme de chiffrement AES en mode CFB, avec un vecteur d’initialisation codé en dur: 0123456789123456…. [et] ils ont incorporé des commandes que nous n’avons observées dans aucune autre fuite ou rapport public. »

Il est probable, selon Check Point, que les cybercriminels derrière l’infrastructure malveillante utilisée dans les opérations Manul et Dark Caracal soient toujours opérationnels, «prêts à aider dans les cyber-opérations offensives quiconque est prêt à payer».

Les chercheurs ont ajouté: «Bien qu’il ne soit pas aussi capable, ni aussi expérimenté en sécurité opérationnelle que certaines autres sociétés de sécurité offensives, le groupe derrière l’infrastructure dans ces attaques semble s’améliorer au fil du temps, ajoutant plusieurs couches de sécurité, des certificats valides et d’autres techniques, pour entraver détection et analyse de ses opérations. »

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x