Archives du mot-clé apt get install malware

NY Times : Un article sur la cyber-unité de l’armée chinoise (Unit 61398)

 
Comme on s’y attendait après le piratage du NY Times, la société Mandiant qui a analysé les attaques sur le journal a finalement publié un document de 76 pages (pdf)… sauf qu’il ne traite pas des attaquants du NY Times.

Mandiant s’est penché en effet sur les attaques venant du groupe Comment Crew, aussi appelé Shanghai Group qui correspondent en fait à l’unité 61398 de l’armée chinoise (PLA) où l’on retrouve des profils du type de xxgchappy.

L’article du NY Times, excellent comme à son habitude, indique que Mandiant a retracé plus de 140 intrusions depuis 2006 à ce groupe et que la réalité et sans doute bien au delà ce cela.
Les principaux coups d’éclat de cette unité correspondent aux attaques ayant ciblé RSA, Coca-Cola (lors de la tentative de rachat du groupe chinois Huiyuan Juice) ou encore Lockheed Martin.

Même si le nom des victimes n’est pas toujours révélé, une victime française est recensée dans le rapport de Mandiant. Un rapprochement à faire avec Bercy ?

Des pseudos supplémentaires de hackers liés au PLA sont donnés : UglyGorilla, DOTA (une capture de sa boîte Gmail est présent dans le PDF !) et SuperHard.

Des hackers volent des certificats à Bit9

KrebsonSecurity indique dans un article que la société Bit9 a été victime d’une intrusion qui a permis aux hackers de récupérer un certificat cryptographique.

La société Bit9 développe un logiciel de sécurité qui prend la problématique des antivirus à l’envers : au lieu de bloquer les exécutables selon une liste noire, leur logiciel fonctionne sur le principe d’une liste blanche n’autorisant que les exécutables connus. Une approche qui a le mérite de pouvoir stopper de nouvelles menaces (malwares non répertoriés).

Bit9 a du beau monde parmi ses clients : d’après Krebs, 30 font partie du Fortune 100 (classement du magazine Fortune).

Les pirates ont profité du fait que certaines machines du réseau de Bit9 n’étaient pas protégée par… Bit9 lui-même. Un oubli qui a couté cher à l’entreprise car la brèche a permis aux attaquants de récupérer un certificat qui a ensuite servi à signer des malwares envoyés aux entreprises clientes de Bit9.

3 clients dont on ne connait pas l’identité ont été infectés par ces malwares considérés comme légitimes en raison de leur signature.
Une attaque qui semble particulièrement ciblée. On ne sait pas si les hackers sont parvenus à leur fin.

Octobre Rouge

Votre nouveau feuilleton de l’hiver c’est l’opération « Red October » qui a été dévoilé par Kaspersky.

On y retrouve les ingrédients maintenant classique d’autres opération de cyber-espionnage à la Duqu / Flame / Stuxnet, à savoir du spear-phishing (envoi de pièces jointes plombées + social engineering), des exécutables qui volent différents type d’informations et des serveurs de command and control à gogo :p

Contrairement à Flame, les attaquants ne sont pas pris la tête pour exploiter des failles 0day : ils ont exploité des failles datant de quelques années (2009, 2010 ou plus récent) pour lesquelles des exploits sont trouvables sur le web. Il se pourrait même qu’ils aient ripé le code de hackers chinois.

Une fois un accès récupéré sur une machine via l’exploitation d’une de ces failles, ils tentent de prendre l’accès à d’autres machines du réseau via une vieille faille dans SMB (déjà exploitée par le ver Conficker).

D’après Kaspersky, l’analyse des exécutables droppés sur les machines laisse supposer que les attaquants sont russophone (présence de caractères cyrilliques).
Malgré le fait que les failles exploitées soient connues de longue date, les attaques remonterait depuis mai 2007 !

Des modules utilisés dans ces attaques s’intéressent en particulier aux données des smartphones : historique des appels, contacts, sms etc.
Les autres plus classiques écoute les touches du clavier, tente de récupérer des accounts pour des sites web et messagerie instantanées.

D’après l’analyse qui a été faite, de nombreux pays sont concernés par ces attaques, principalement en Europe de l’Est / Asie centrale, la Russie étant elle-même la plus touchée.

Dans une analyse plus récente, Kaspersky rentre en détails sur les exploits utilisés et les méthode d’obfuscation des shellcodes ainsi que sur le dropper.

Les modules utilisés dans les attaques sont ensuite passés au crible. Les chercheurs sécu de Kaspersky ont pu mettre en place de fausses machines victimes et surveiller l’activité.
Notamment, un module est capable de lire les bases sqlite pour extraire les infos de navigation des différents navigateurs.

L’un des modules les plus important aux yeux des attaquants est celui qui tente de récupérer toutes les communications liées à mail.ru (4ème site le plus visité en Russie en 2011).
Enfin, un autre module tente de trouver les chaines SNMP « communauté » sur le réseau en se servant d’une liste hard-codée de 600 chaines et récupère les configurations Cisco quand cela est possible.

Malware.lu a aussi publié plusieurs articles sur le sujet ainsi qu’une réécriture du C&C en Python

Le Népal victime d’attaques ciblées

Via WebSense :

Plusieurs sites du gouvernement du Népal ont été victimes d’attaques permettant aux pirates d’injecter du code HTML dans les pages web.
Ce code déclenche l’exploitation d’une faille Java qui permet d’uploader et exécuter un RAT baptisé Zegost sur la machine des internautes visitant les pages infectées.

Les attaquants ne se sont pas trop pris la tête puisqu’ils ont clairement réutilisé le code de Metasploit pour la faille Java.
En revanche le bot est déjà connu pour avoir permis d’attaque Amnesty International , le Tibet ainsi que d’autres zones autour de la Chine.

Le C&C est d’ailleurs chinois et le RAT a été signé avec un certificat VeriSign valide destiné au FAI chinois 360.cn (certificat depuis révoqué).

Il ne fait pas bon être le voisin de certains pays…

White papers : Attaques ciblées et analyse de malwares

Deux articles à lire sur lepouvoirclapratique.blogspot.fr :

Attaques ciblées : état de l’art & méthodologie
Ce document traite de la recherche d’infos sur la cible à l’aide d’outils en ligne, réseaux sociaux ou de logiciels comme Maltego, TheHarvester ; la création de document piégé via Metasploit et leur envoi par fake-mail.

Le second document intéressera tout ceux qui souhaitent se lancer dans la rétro-ingénierie de malwares : où trouver des samples, quels logiciels utiliser pour confiner leur exécution, analyser de façon statique ou via débogage, analyse par surveillance du système etc.
De nombreux liens sont présents pour approfondir la question.

Le code de VMWare dans la nature

A l’origine, seul un fichier semblait avoir fuité du code du logiciel de virtualisation VMware dixit la société éditrice.

Mais il n’aura pas fallu longtemps avant que le pirate Hardcore Charlie se revendiquant d’Anonymous poste un screenshot laissant supposer que la totalité du code a été volée (environ 300Mo).
Le hacker ajoute qu’il n’a pas trouvé le code source sur les serveurs de VMware… mais sur les réseaux de sociétés chinoise, en particulier la CEIEC (China Electronics Import & Export Corporation). De quoi mettre le feu aux poudres.

La réponse de VMware sur ce leak ?

The fact that the source code may have been publicly shared does not necessarily mean that there is any increased risk to VMware customers

Comme d’habitude, on prétend qu’il n’y a rien de grave… jusqu’à ce que le drame arrive, loi de Murphy oblige.

Finalement, ce sont des mails internes à la société et datant de 2005 qui ont fait sur apparition sur la toile, toujours à l’initiative de l’énigmatique Hardcore Charlie.

Sur ce même pastebin on trouve aussi des notes de synthèse faites par le gouvernement chinois sur les opérations US en Afghanistan.

source : TheHackerNews
Edit: TheInquirer a eu un entretien avec Hardcore Charlie et a quelques infos supplémentaires sur l’affaire.

Leacked Leacke Vmware is massive 😀

Analyse des récentes attaques APT

Avec un peu de retard on vous relaye la sortie d’un whitepaper pdf de Command Five qui s’est penché sur les attaques APT qui ont ciblé la Corée du Sud, RSA ainsi que les opérations baptisées NightDragon…
L’analyse montre d’intéressantes similarités dans les protocoles, malwares ou domaines utilisés par les attaquants…

En fouillant un peu on parvient à retrouver sur hackchina le code source de l’un des RAT utilisé lors des attaques.

Les auteurs de Duqu, des fans de Dexter ?

Sur securelist, on en apprend un peu plus sur le trojan/rootkit Duqu.

Il utilise un shellcode dissimulé dans un emplacement sensé contenir une police de caractère baptisée « Dexter Regular » dans les auteurs seraient « Showtime Inc » (la boite qui diffuse la série TV).

Additionnellement on apprend que les auteurs de Duqu attaquent vraiment au cas par cas en utilisant des binaires, documents, mails différents pour chaque victime.

Enfin la date de compilation de certaines versions du driver remonte à aout 2007… Le projet Duqu ne serait donc pas si récent.

Nitro : attaques cyber-chimiques

Via TheRegister et Norman :

Une nouvelle série d’attaques ciblées a été révélées. Baptisées « Nitro », ces attaques cibles les entreprises spécialisées dans la production de produits chimiques à travers le monde.

La technique utilisée est très basique, requiert une action de la victime et n’exploite aucune vulnérabilité connue (si ce n’est la vulnérabilité humaine).
Il s’agit en effet de mails semblant venir des ITs de la boîte avertissant d’une faille dans Adobe Reader et invitant à lancer un exécutable présent dans l’archive en pièce jointe.

L’exécutable en question est une version customisée du très connu trojan Poison Ivy.
L’opération a permis de voler des documents sensibles.