Archives du mot-clé apt get install malware

CopyKittens : Hackers Pompeurs

La Minerva Labs Research team et ClearSky Cyber Security ont publié un document PDF sur les outils utilisés par un nouveau groupe de hackers (dont l’origine est inconnue) qu’ils ont baptisé les CopyKittens.

Ces derniers ont en effet l’habitude de ré-utiliser du code et des outils qu’ils ont trouvé sur la toile ce qui n’est pas toujours mauvais puisque leurs outils ont l’air assez évolués sans être au niveau des Duqu et autres malwares US.

HDRoot : le bootkit de l’équipe APT Winnti

Via SecureList, Kaspersky a publié deux articles sur un bootkit Windows utilisé par une équipe d’attaquants chinois baptisée Winnti connus pour l’intérêt qu’ils portent aux entreprise de Corée du Sud.

Le premier article décrit le fonctionnement de HDRoot, l’utilitaire d’infection de MBR et de persistance sur le système. Le second article se concentre sur les exécutables liés à ce bootkit (droppers utilisant le bootkit, etc).
Ces articles très intéressants donnent une bonne idée de ce qui peut se faire en la matière.

Blue Termite : un nouveau groupe de hackers-espions

Kaspersky a vu le nombre d’attaques d’un groupe APT baptisé Blue Termite augmenter fortement ces derniers temps.

Ces derniers ont profité du 0day Flash leaké lors du hack d’Hacking Team pour lancer de nouvelles attaques.
Leurs cibles ? Les grosses entreprise japonaises.
Les hackers sont très prudents pour dissimuler leurs attaques et font attention à ne cibler que les internautes japonais.
Sans doute pour risquer d’être bloquer par les firewalls, tous leurs C&C sont hébergés au Japon.

L’origine des hackers est incertaine mais dans un script PHP récupéré par Kaspersky se trouve une référence à une adresse IP de test située à Shanghai
Le groupe utilise une famille de malware baptisée emdivi.

Dino : la ferme s’agrandit

Via LeMonde, ESET :

Les chercheurs de chez ESET ont mis la main sur un malware baptisé Dino qui serait l’un des animaux de la ferme virale française avec Casper et Babar.

Et plus des fonctionnalités de RAT qu’on retrouve généralement dans ce type de malware, Dino dispose aussi d’un mécanisme crontab-like pour exécuter des tâches et gère un système de fichier ramFS où des fichiers sont gardées chiffrées en mémoire vive.

Le malware aurait visé des personnes ou entités en Iran durant l’année 2013.

Duqu 2.0 : Kaspersky victime d’une attaque ciblée

Via BBC, Kaspersky, Wired :

Kaspersky n’aura pas cherché bien loin pour trouver un sample du successeur de Duqu premier du nom : des pirates sont en effet parvenu à planter un malware sur certaines machines de l’entreprise dans le but d’espionner l’entreprise.

Le Duqu 2.0 a notamment été détecté car un fichier driver était signé avec un certificat valide provenant de l’entreprise Foxconn, ce qui était pour le moins étrange.
Foxconn est l’entreprise taïwanaise sous-traitante d’Apple où il fait tellement bon travailler
Cette entreprise signe très rarement ses exécutables.

Les auteurs des versions de Duqu ont semble t-il un penchant pour les entreprises taïwanaises quand il s’agit de voler des certificats. Sans doute dans l’espoir que les médias pointent du doigt les hackers chinois.
Mais les ressemblances entre le sample trouvé et le précédent Duqu sont telles qu’il est difficile de ne pas faire le lien avec Stuxnet qui est considéré comme un cousin de ce malware.
Selon certains la source des attaques serait par conséquent israélienne.

Whitepaper de Kaspersky (PDF)

Casper : un autre malware fabriqué en France ?

Via NEXTINpact, Motherboard :

Le retour de la french-touch ? Les chercheurs sécu de chez ESET ont, avec l’aide de personnes de GDATA et du CERT Luxembourg, analysé un malware baptisé Casper qui montre des similitudes (codes et formats d’identifiants communs) avec Babar et une autre bestiole baptisée NBOT.

Ici le public visé par le malware serait de nationalité syrienne : deux zero-days affectant le playeur Flash ont été placées sur un site du gouvernement syrien dans le but d’installer l’exécutable Casper sur les machines des visiteurs.
L’exploitation de ce site qui permet aux syriens de demander des dédommagements liés aux destructions de la guerre civile ne serait pas une fin en soit : le site aurait été choisi principalement car considéré de confiance par le public visé et aussi car vulnérable (ayant subit des intrusions par le passé) ce qui en faisait un relais idéal pour installer le malware.
Il est supposé que les victimes aient été hameçonnées via mail (ou autre) pour visiter la page malicieuse.

Malgré l’utilisation de deux 0-days, le malware Casper installé semble disposer de fonctionnalités assez basique : renvoi d’un rapport identifiant le poste infecté, détection d’antivirus, droppeur.
Son rôle principal est principalement de pouvoir déterminer si la personne vérolée est d’intérêt pour des attaques plus poussées.

Le groupe supposé français derrière ces attaques est déjà surnommé Animal-Farm.

Babar : un APT made in France ?

C’est en tout cas ce que prétend l’entreprise Cyphort : ils ont mis la main sur une bestiole disposant des fonctionnalités d’espionnage classiques (keylogger, screenshots, interception de chats text et audio) et d’un rootkit userland.

Les C&C utilisés semblent être des sites légitimes qui ont été pénétrés.

L’allégation que le malware soit français se base sur un document secret du Centre de la sécurité des télécommunications Canada publié par le Del Spiegel en janvier.

Operation Cleaver : les attaques informatiques menées par l’armée iranienne

La boîte de sécu Cylance a publié un excellent rapport PDF sur ce qu’ils ont baptisé Operation Cleaver : les attaques ciblées menées par des hackers recrutés par le gouvernement iranien.

A l’instar de l’unité 61398 du gov chinois spécialisée dans les cyber-attaques, le gouvernement iranien abrite donc lui aussi son unité sans doute liée au SPND.

Côté technique, même si les hackers n’ont pas le niveau et les moyens des USA (0days, crypto, etc), ils ont quand même quelques tours dans leur sac avec des applications faites-maison et une méthodologie qui semble bien huilée.

Bref l’Iran entre dans la danse et ne veux plus passer pour des cyber-n00bs. Préparons le pop-corn :p

Regin : le nouveau super-malware discret mais puissant

Via Wired, TheRegister :

Le malware Regin c’est la dernière super-bestiole électronique utilisée dans des attaques ciblées et dont le niveau technique n’a pas à rougir devant les Flame, Duqu et autres Stuxnet.

La première version récupérée de ce malware remonte à… 2008. Les boîtes antivirales étant surchargées de taff et le malware étant discret et très complexe, les reversers qui se sont penchés sur les fichiers composants la bête à l’époque n’ont pas pu avoir une vision globale du malware (qui est composé de nombreux fichiers dont une mise en place en 5 étapes…)

Le malware Regin a quelques victimes d’importance à son tableau de chasse : le cryptographe belge Jean-Jaques Quisquater et l’intrusion chez Belgacom en septembre 2013 qui a été révélée par Snowden comme étant une opération conjointe de la NSA et du GCHQ.

Là où ça fait mal c’est que le spyware a été utilisé pour attaquer la Comission Européenne en 2011 mettant ainsi l’Angleterre dans une posture délicate… Petites cyber-attaques entre amis :p

L’une des fonctionnalités particulières de Regin c’est la possibilité d’accèder à des stations de base GSM une fois des identifiants volés. Cette fonctionnalité aurait servi pour des pays du moyen-orient.
L’Afghanistan est l’une des victimes probables. Les nom du ou des pays concernés n’ont pas été révélés.

Regin fait une forte utilisation des conteneurs chiffrés de Windows (EVFS) et dissimulent même ses fichiers chiffrés dans les attributs étendus du système NTFS.
Il dispose de fonctions trouvables sur de bons trojans (sniffer, keylogger, capture d’écran) mais apporte en plus des fonctions d’inforensique en étant capable de récupérer des fichiers effacés.

Enfin il a un modèle unique d’exfiltration de données via différents protocoles (TCP, UDP, ICMP, HTTP…) et il dispose d’un système peer-to-peer permettant de centraliser l’exfiltration des données via un point unique sur un réseau local. De cette manière il réduit au maximum les risques d’être détecté.

Tout ceci est décrit dans le rapport de Symantec sur le sujet.

Sandworm : une attaque APT made in Russie

Via iSIGHT Partners :

Sandworm c’est le petit nom de cette attaque APT qui serait lancée par la Russie pour espionner l’OTAN, l’Union Européenne ainsi que des entreprises dans des domaines stratégiques (dont les télécommunications en France).
Pour s’ouvrir les portes, les attaquants ont utilisé des failles 0-day (pas encore patchées) dans différentes versions de Windows.

Un whitepaper est disponible mais demande malheureusement de s’enregistrer pour y accéder 🙁