Crédit : Temps de rêve
Des chercheurs en sécurité ont découvert des opérations de cyberespionnage menées par un groupe de pirates informatiques basé en Iran ciblant des entreprises aérospatiales et de télécommunications avec un programme de cheval de Troie furtif non documenté et utilisé depuis 2018. La société de sécurité Cybereason a surnommé la campagne Opération GhostShell et a déclaré qu’elle ciblait principalement les entreprises au Moyen-Orient, mais aussi aux US, Europe et Russie. L’objectif des attaques est le vol d’informations sur l’infrastructure, la technologie et les actifs critiques des victimes.
Bien que les chercheurs pensent que ce groupe de cyberespionnage, appelé MalKamak, est nouveau et distinct des groupes précédemment documentés, il existe des preuves indiquant des liens possibles avec des groupes connus parrainés par le gouvernement iranien, tels que Chafer APT (APT39) et Agrius APT.
Le RAT ShellClient
Le principal outil malveillant du groupe est un cheval de Troie d’accès à distance (RAT) appelé ShellClient qui est en cours de développement et probablement utilisé activement depuis 2018, car différentes versions avec des améliorations de fonctionnalités ont été identifiées. « Les auteurs de ShellClient ont investi beaucoup d’efforts pour le rendre furtif pour échapper à la détection par les antivirus et autres outils de sécurité en tirant parti de plusieurs techniques d’obscurcissement et en implémentant récemment un client Dropbox pour la commande et le contrôle (C2), ce qui le rend très difficile à détecter, » les chercheurs ont dit.
Le cheval de Troie est créé avec un outil open source appelé Costura qui permet la création d’exécutables compressés autonomes sans dépendances externes. Cela pourrait également contribuer à la furtivité du programme et à la raison pour laquelle il n’a pas été découvert et documenté jusqu’à présent après trois ans de fonctionnement. Une autre raison possible est que le groupe ne l’a utilisé que contre un petit groupe de cibles soigneusement sélectionnées, même si elles sont réparties sur plusieurs zones géographiques.
ShellClient dispose de trois modes de déploiement contrôlés par des arguments d’exécution. On l’installe en tant que service système appelé nhdService (Network Hosts Detection Service) à l’aide de l’outil Windows InstallUtil.exe. Un autre argument d’exécution utilise le gestionnaire de contrôle des services (SCM) pour créer un shell inverse qui communique avec un compte Dropbox configuré. Un troisième argument d’exécution exécute uniquement le malware en tant que processus normal. Cela semble être réservé aux cas où les attaquants souhaitent d’abord collecter des informations sur le système, y compris les programmes antivirus installés, et déterminer s’il vaut la peine de déployer le malware en mode persistance.
Le cheval de Troie utilise Dropbox pour la commande et le contrôle afin d’échapper à la détection au niveau du réseau. Toutes les données envoyées au compte Dropbox sont cryptées avec une clé de cryptage AES codée en dur pour ajouter une couche d’obscurcissement du trafic. La façon dont le malware reçoit les commandes est passive. Les attaquants créent des fichiers dans un dossier particulier sur le compte Dropbox que le malware vérifie toutes les quelques secondes. Ces fichiers correspondent à certaines commandes et lorsqu’ils sont détectés, le logiciel malveillant supprime les fichiers, exécute la commande et télécharge la sortie sous forme de fichier dans un dossier différent. Chaque fichier contient un identifiant unique identifiant la victime.
ShellClient implémente plusieurs fonctionnalités et commandes, notamment les opérations sur les fichiers et les répertoires, l’ouverture des shells CMD et PowerShell, l’exécution de commandes shell, le démarrage des clients TCP, FTP et Telnet, le téléchargement et l’exécution de fichiers sur la machine et l’exécution de diverses actions de mouvement latéral via la gestion Windows Ensemble d’outils d’instrumentation (WMI).
Mouvement latéral et connexions APT iraniennes
Les chercheurs de Cybereason ont observé que les attaquants utilisaient des outils populaires tels que PAExec (une version de PsExec) et « net use » pour exécuter des fichiers sur des systèmes distants. Ils ont également vu le dumping des informations d’identification du processus lsass.exe avec un outil appelé lsa.exe qu’ils soupçonnent d’être une version de SafetyKatz – une variante open source de Mimikatz qui a été utilisée par d’autres groupes iraniens APT dans le passé. Une version autonome de WinRAR a également été utilisée pour archiver les fichiers avant l’exfiltration.
La première version de ShellClient identifiée par l’équipe Nocturnus de Cybereason a été compilée en août et comprenait une chaîne de version 4.0. Cela suggère qu’il pourrait exister des versions plus anciennes et, en effet, plusieurs versions plus anciennes datant de novembre 2018 ont été trouvées plus tard. Ceux-ci avaient différents ensembles de fonctionnalités, suggérant un développement et une amélioration constants au fil du temps.
L’utilisation du packer Costura et l’utilisation de Dropbox pour la commande et le contrôle n’ont été ajoutées que dans la dernière version, qui a également vu d’autres changements architecturaux importants. Cependant, certaines des structures de code, des routines et des techniques utilisées dans les versions précédentes sont similaires à celles observées dans les logiciels malveillants d’autres groupes APT iraniens.
« L’équipe Nocturnus a comparé nos observations avec des campagnes précédentes attribuées à des acteurs iraniens connus et a pu mettre en évidence des similitudes intéressantes entre ShellClient et les malwares et acteurs iraniens précédemment signalés », ont déclaré les chercheurs. « Cependant, à ce stade, notre estimation est que cette opération a été réalisée par un groupe d’activités distinct, baptisé MalKamak, qui a ses propres caractéristiques distinctes qui le distinguent des autres groupes. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
