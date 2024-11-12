Depuis novembre 2024, IBM X-Force suit les campagnes Hive0145 qui diffusent le logiciel malveillant Strela Stealer à des victimes dans toute l’Europe, principalement en Espagne, en Allemagne et en Ukraine. Les e-mails de phishing utilisés dans ces campagnes sont de véritables notifications de facture, qui ont été volées grâce à des identifiants de messagerie précédemment exfiltrés. Strela Stealer est conçu pour extraire les identifiants utilisateur stockés dans Microsoft Outlook et Mozilla Thunderbird. Au cours des 18 derniers mois, le groupe a testé diverses techniques pour améliorer l’efficacité de ses opérations. Hive0145 semble être un courtier d’accès initial (IAB) motivé par des raisons financières, actif depuis fin 2022 et potentiellement le seul opérateur de Strela Stealer. Le rythme opérationnel soutenu des campagnes de Hive0145 met en évidence un risque accru pour les victimes potentielles à travers l’Europe.
À partir de la mi-avril 2023, X-Force a commencé à suivre l’augmentation de l’activité de Hive0145. Hive0145 semble être un courtier d’accès initial (IAB) motivé par des raisons financières et potentiellement le seul opérateur de Strela Stealer. Strela Stealer est un logiciel malveillant conçu pour extraire les identifiants de messagerie électronique des utilisateurs stockés dans Microsoft Outlook et Mozilla Thunderbird, ce qui peut conduire à l’escroquerie aux faux ordres de virement (BEC). Les IAB collectent régulièrement des identifiants et d’autres données qui sont vendus à des acteurs de la menace affiliés spécialisés dans l’exploitation des réseaux des victimes. Cependant, on ignore si Hive0145 dispose d’un réseau de partenaires spécifique pour vendre les accès obtenus grâce à ses campagnes.
Au cours de l’année écoulée, Hive0145 a démontré sa maîtrise des tactiques, techniques et procédures en constante évolution pour cibler des victimes dans toute l’Europe. Les victimes italiennes, espagnoles, allemandes et ukrainiennes continuent de recevoir des pièces jointes malveillantes qui incitent les victimes à ouvrir le fichier. Ces campagnes consistent à présenter aux victimes de fausses factures ou de faux reçus, souvent accompagnés d’un message générique bref et urgent. En chargeant le fichier joint, la victime déclenche sans le savoir la chaîne d’infection qui mène au logiciel malveillant Strela Stealer.
Figure 1 : Campagne d’e-mails sur le thème de Banco Santander
Hive0145 a continué à utiliser ce modèle de messages génériques et de fausses factures et reçus tout au long du premier semestre 2024. Cependant, début juillet 2024, le groupe a adopté une approche différente et a commencé à utiliser à des fins malveillantes des e-mails volés à des entités réelles dans les secteurs de la finance, de la technologie, de la fabrication, des médias, de l’e-commerce et d’autres secteurs. L’abandon de la simplicité indique l’évolution de Hive0145 vers une capacité cyberopérationnelle plus mûre.
En juillet 2024, X-Force a observé un changement à mi-campagne dans les e-mails distribués par Hive0145, les messages courts et génériques étant remplacés par ce qui semblait être des e-mails volés légitimes. Les e-mails de phishing correspondaient exactement aux e-mails officiels de communication des factures et, dans certains cas, s’adressaient toujours directement aux destinataires d’origine par leur nom. X-Force a pu vérifier que les e-mails étaient en fait d’authentiques notifications de factures provenant de diverses entités des secteurs financier, technologique, manufacturier, médiatique, du e-commerce et d’autres. Il est probable que le groupe ait obtenu ces e-mails grâce aux identifiants précédemment exfiltrés lors de ses campagnes antérieures.
Le concept d’utilisation d’e-mails volés n’est pas nouveau, il a été largement utilisé par le groupe Emotet et des distributeurs de logiciels malveillants tels que Hive0118 (alias TA577), TA551 et TA570. Dans leurs campagnes, ils ont exploité le détournement de fils de discussion, où de nouveaux fils de discussion vers des e-mails volés ont été utilisés pour renforcer la légitimité apparente. Les e-mails modifiés étaient envoyés aux contacts correspondants des victimes précédentes, donnant ainsi l’impression que l’e-mail final était une réponse à l’e-mail volé, détournant ainsi le fil de discussion. Le texte ajouté par les distributeurs aux e-mails est souvent constitué de courtes réponses, incitant les victimes à consulter les pièces jointes ou les URL incluses.
La technique employée par Hive0145 diffère du détournement de fils de discussion en ce sens qu’au lieu d’ajouter un message de réponse à l’e-mail volé, le contenu original reste en grande partie inchangé et seule la pièce jointe est remplacée par une charge utile malveillante utilisant le nom de fichier d’origine (mais pas la même extension). Dans le corps de l’e-mail, Hive0145 remplace également la partie locale et le domaine de l’expéditeur d’origine par ceux de la nouvelle victime du phishing afin de personnaliser l’e-mail. Les e-mails contenant des pièces jointes détournées sont ensuite envoyés dans le cadre de campagnes de phishing de masse. Hive0145 semble également sélectionner avec soin les e-mails détournés en choisissant uniquement ceux qui font référence à des factures et contiennent des pièces jointes. X-Force observe cette technique de détournement de pièces jointes depuis mi-2024 dans des campagnes ciblant des locuteurs allemands, espagnols et ukrainiens.
Figure 2 : Exemple d’e-mail original volé d’une facture de la Deutsche Bahn avec pièce jointe détournée
La campagne de juillet 2024 a commencé à révéler de faibles volumes d’e-mails envoyés tout au long de la semaine du 8 juillet. Hive0145 a semblé faire une courte pause avant de revenir avec une campagne plus importante la semaine du 22 juillet, suivie d’une période d’inactivité. À partir de la mi-octobre 2024, Hive0145 est revenu avec une vaste campagne de détournement de pièces jointes ciblant des victimes espagnoles, allemandes et ukrainiennes. Contrairement à la brève campagne de juillet, celle-ci a continué à envoyer des volumes importants d’e-mails, dont la majorité pendant les jours de semaine.
Figure 3 : La campagne en cours fin octobre 2024
Les e-mails volés dans les secteurs de la finance, de la technologie, de la fabrication, des médias, du e-commerce, entre autres, continuent d’être utilisés comme arme depuis début novembre 2024, ce qui constitue l’une des plus grandes campagnes Hive0145 observées à ce jour. Concernant le procédé, la victime reçoit une archive contenant un fichier JavaScript fortement obscurci qui télécharge et exécute une DLL cryptée Strela Stealer. Depuis le 7 novembre 2024, Hive0145 inclut des locuteurs ukrainiens dans la campagne en cours, ce qui constitue une évolution significative par rapport à la victimologie observée précédemment.
Figure 4 : Exemple d’e-mail original volé contenant une facture ciblant l’Ukraine
L’augmentation du volume d’envois de Hive0145 utilisant le détournement de pièces jointes et l’approvisionnement régulier en e-mails récemment volés pourraient suggérer que le groupe a adopté l’automatisation pour collecter, armer, conditionner et envoyer ses e-mails de phishing. Le groupe continue de montrer une préférence pour l’exploitation à grande échelle de victimes espagnoles, allemandes et ukrainiennes dans toute l’Europe.
Hive0145 se distingue des autres distributeurs de logiciels malveillants par les efforts qu’il déploie afin d’adopter des méthodes de plus en plus sophistiquées pour diffuser Strela Stealer. Ce niveau de sophistication rappelle celui d’autres distributeurs de logiciels malveillants à grande échelle tels qu’Emotet, Pikabot et Qakbot, qui ont souvent conduit au déploiement de ransomwares. Vous trouverez ci-dessous une liste des techniques notables utilisées par Hive0145 au fil du temps, certaines ayant été brièvement testées et d’autres pleinement adoptées.
Les premières campagnes Strela Stealer observées par X-Force utilisaient des fichiers polyglottes, comme l’a rapporté pour la première fois le blog de la DCSO (Deutsche Cyber-Sicherheitsorganisation) fin 2022. Ces fichiers ont plusieurs formats valides et peuvent être analysés par différentes applications. Le même fichier peut à la fois être rendu en HTML pour afficher une fausse facture et être une DLL valide, implémentant Strela Stealer. Il s’agit d’une technique assez rare pour tenter de contourner les solutions de sécurité.
Plusieurs campagnes menées tout au long de l’année 2023 ont utilisé des certificats de signature de code valides pour les binaires malveillants de Strela Stealer. Par exemple, les campagnes ciblant des victimes hispanophones remontant à avril 2023 contenaient des charges utiles accompagnées d’un certificat valide signé par Tecfinance Informatica E Projetos De Sistemas Ltda, une société de logiciels brésilienne.
Figure 5 : Certificat d’entreprise brésilienne utilisé dans les campagnes de 2023
Le 5 mai 2024, X-Force a pris des mesures pour informer les parties concernées de cette découverte, et le certificat a depuis été révoqué.
Il convient de noter qu’une campagne ciblant l’Italie au milieu de l’année 2023 a utilisé un certificat différent :
Figure 6 : Un autre certificat volé utilisé au milieu de l’année 2023 pour cibler des victimes italiennes
Les campagnes de phishing Strela Stealer ont également adapté les noms de fichiers pour inclure les noms de domaine ciblés. Les noms de fichiers sont souvent identiques au nom de l’entreprise ou de l’organisation, probablement dans le but de renforcer leur authenticité. L’exemple ci-dessous est un e-mail de phishing datant de 2023 simulant une facture ou un reçu de paiement.
Figure 7 : Campagne d’e-mails sur le thème de la facturation
Comme le suggère l’e-mail, les pièces jointes sont des fichiers ZIP chiffrés, avec des mots de passe légèrement différents pour chaque e-mail. Les acteurs de la menace chiffrent les pièces jointes des e-mails, car les solutions de filtrage et de sandboxing de base ne peuvent souvent pas inspecter ou déclencher ces fichiers.
Strela Stealer a également utilisé des extensions inhabituelles pour ses fichiers exécutables PE, telles que .com au lieu de .exe :
Cela exploite une condition des systèmes d’exploitation Microsoft Windows selon laquelle trois extensions différentes peuvent être utilisées pour marquer un fichier comme exécutable : .exe, .com et .pif.
Si le contenu est un fichier PE exécutable, Microsoft Windows l’exécutera automatiquement une fois ouvert. En utilisant des extensions plus inhabituelles et moins connues, la campagne peut échapper aux solutions antivirus simples ou aux soupçons des victimes. Des campagnes antérieures avec les mêmes charges utiles ont également été observées utilisant l’extension .pif.
Outre les archives ZIP directement jointes contenant les exécutables malveillants, les campagnes Strela Stealer utilisent également souvent des scripts obscurcis tels que Batch, JavaScript ou PowerShell pour télécharger ou déposer leur charge utile.
Tout au long de l’année 2024, les campagnes se sont principalement appuyées sur ces scripts obscurcis pour exécuter une commande PowerShell permettant de se connecter à un serveur WebDAV, puis de télécharger et d’exécuter une DLL chiffrée :
Les serveurs intermédiaires WebDAV hébergent un grand nombre de DLL, avec des noms et des hachages différents. Ils semblent avoir été créés à l’aide d’un programme de chiffrement que X-Force identifie comme « Stellar Crypter », qui est probablement utilisé exclusivement par Hive0145 depuis au moins mai 2023. Les binaires malveillants identifiés comme « Stellar Loader » contiennent la charge utile chiffrée de Strela Stealer.
Stellar Loader est un programme de chiffrement utilisé depuis au moins avril 2023 et qui sert principalement de précurseur aux charges utiles Strela Stealer. Les échantillons Stellar sont généralement très obscurcis et utilisent des techniques telles que l’obscurcissement du flux de contrôle et incluent de grandes quantités d’instructions inutiles afin d’entraver l’analyse et la création de signatures. La charge utile de Stellar est chiffrée par XOR et stockée dans la section .data du binaire Stellar Loader. Les données chiffrées de la charge utile sont précédées de la clé XOR qui, dans les échantillons récents, se compose uniquement de lettres majuscules et minuscules et peut compter des milliers de caractères.
Lors de son exécution, Stellar Loader déchiffre les données de la charge utile à l’aide de XOR et de la clé stockée. Le processus de déchiffrement peut également impliquer un cycle supplémentaire de XOR à l’aide d’une clé à un octet codée en dur. Dans le cadre de l’obscurcissement du code de Stellar Loader, l’algorithme de déchiffrement contenu dans le code est souvent étendu de manière à comporter des centaines d’opérations. Cependant, la grande majorité de ces opérations s’annulent mutuellement, et ce qui apparaît comme un algorithme complexe peut être réduit à une simple opération XOR. La capture d’écran ci-dessous montre une version de Stellar Loader avec un obscurcissement minimal, où la structure du code du chargeur et l’algorithme de déchiffrement sont facilement visibles.
Dans les versions plus récentes du chargeur, les données chiffrées de la charge utile sont suivies d’un bloc chiffré supplémentaire contenant une liste des noms d’API requis par le code du chargeur, tels que VirtualAlloc. Le chargeur déchiffre ce bloc en utilisant la même clé que la charge utile mais sans le XOR supplémentaire à un seul octet. Le chargeur peut alors utiliser les noms d’API dans le bloc pour récupérer les adresses API correspondantes.
Une fois la charge utile et la liste des API déchiffrées, Stellar alloue de l’espace dans la mémoire à l’aide de VirtualAlloc et mappe la charge utile PE à l’adresse allouée. Il effectue ensuite les étapes classiques de chargement PE, telles que le chargement de ses importations et le traitement des sections de relocalisation (.relocs), puis exécute enfin la charge utile à son adresse de point d’entrée.
Les fonctionnalités de Strela Stealer ont peu évolué au cours des deux dernières années. Depuis la version initiale signalée par la DCSO fin 2022, l’objectif principal du « stealer » est d’exfiltrer les identifiants de messagerie de deux clients de messagerie courants : Microsoft Outlook et Thunderbird. Cela vaut pour toutes les variantes, mais la dernière prend en charge davantage de clés de registre pour rechercher les identifiants Microsoft Outlook que les précédentes.
Strela Stealer exécute deux fonctions chargées de voler les identifiants de deux clients de messagerie :
Client de messagerie
Thunderbird
Microsoft Outlook
Lieu
Système de fichiers
Registre
Chemin d’accès
%APPDATA%
%APPDATA%
SOFTWARE\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\
SOFTWARE\\Microsoft\\Office\\15.0\\Outlook\\Profiles\\Outlook\\
Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\9375CFF0413111d3B88A00104B2A6676
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows MessagingSubsystem\\Profiles\\Outlook\\
Pour Outlook, Strela Stealer recherche spécifiquement les valeurs suivantes dans le registre :
Les données sont formatées et précédées de la chaîne « FF » ou « OL » pour les données Thunderbird et Outlook, respectivement. Ensuite, elles sont également chiffrées à l’aide d’une clé XOR statique, qui correspond à une chaîne GUID du type :
Strela Stealer envoie ensuite une requête POST pour chaque client de messagerie à son serveur C2 codé en dur :
La réponse est déchiffrée à l’aide de la même clé XOR que ci-dessus. Strela Stealer continue d’envoyer des requêtes POST à intervalles d’une seconde jusqu’à ce qu’une requête échoue ou qu’il reçoive en retour la chaîne « KH » (versions 2023), « ANTIROK » (versions 2024) ou « CHOLLIMA » (versions de novembre 2024).
Depuis octobre 2024, Strela Stealer comprend également deux fonctions d’exfiltration supplémentaires. La première recueille des informations système sur l’hôte et les écrit dans un fichier via la commande :
La deuxième fonction d’exfiltration utilise des objets COM pour énumérer la liste des applications installées à partir du dossier « AppsFolder » (un dossier virtuel, affiché sous le nom « Applications ») sur la machine victime.
Le fichier déposé, ainsi que la liste des applications installées, sont lus et chiffrés avant l’exfiltration de la même manière que les autres. Ils sont envoyés au serveur C2 avec les identifiants « SI » et « LA » respectivement.
Strela Stealer a commencé à mettre en œuvre des vérifications linguistiques en vérifiant la langue du clavier sur l’hôte victime. Les versions de 2024 ne fonctionnent uniquement sur les hôtes disposant de l’une des langues de clavier suivantes :
Début novembre, Hive0145 a également commencé à distribuer des e-mails ukrainiens volés et a légèrement modifié la logique de vérification linguistique, en ajoutant l’ukrainien (0x422) à la liste des dispositions de clavier. De plus, les développeurs ont opté pour l’API GetKeyboardLayoutList afin de couvrir toutes les dispositions de clavier installées. Si aucune des langues ne correspond, Strela Stealer effectue une vérification secondaire en comparant le paramètre régional par défaut de l’utilisateur obtenu à partir de GetLocaleInfoA avec « AU » et « UA », qui sont les codes de l’Australie et de l’Ukraine. Il est possible que le développeur n’ait pas été sûr du boutisme de la valeur renvoyée et n’ait pas eu l’intention de cibler l’Australie. Dans l’ensemble, ces changements augmentent le nombre de machines susceptibles d’être infectées par Strela Stealer.
Auparavant, le logiciel malveillant affichait un message d’erreur discret à l’utilisateur après son exécution afin de ne pas éveiller les soupçons. Il indiquait que le fichier était corrompu et ne pouvait pas être ouvert, dans la langue correspondant au clavier installé. Les dernières versions utilisent le message d’erreur plus universel « Err 100 », qui s’affiche 5 secondes après le début de l’exécution.
En juin 2023, X-Force a observé une campagne Hive0145 ciblant l’Italie et diffusant une nouvelle variante de Strela Stealer entièrement réécrite en .NET. À l’instar des campagnes précédentes, celle-ci utilisait également des certificats de signature de code valides. La réimplémentation du logiciel malveillant dans un langage différent témoigne d’un effort considérable de la part de l’acteur de la menace. Afin de dissimuler les chaînes, les noms de fonctions et le flux de contrôle, les développeurs ont utilisé l’outil commercial « Aldaray Rummage Obfuscator » pour .NET. La capture d’écran ci-dessous montre le code utilisé pour accéder aux identifiants IMAP et lever leur protection à partir des clés de registre de Microsoft Outlook.
Il est à noter que cet outil commercial d’obscurcissement inclut un filigrane pour la licence, comme le montre l’image suivante :
L’exemple ci-dessus affiche le message d’erreur suivant en italien :
L’intérêt particulier de Hive0145 pour la collecte d’identifiants de messagerie électronique le distingue des autres opérateurs de logiciels malveillants de type « stealer » ou « botnet », qui sont souvent banalisés et ciblent un éventail plus large d’identifiants et de données, ou facilitent les charges utiles consécutives destinées à l’accès initial. L’utilisation par Hive0145 d’e-mails volés pour détourner des pièces jointes indique qu’une partie des identifiants de messagerie volés peut être utilisée pour collecter des e-mails légitimes en vue d’une distribution ultérieure. Les e-mails volés et ceux créés par les acteurs utilisés par Hive0145 ont principalement pour thème les factures, ce qui suggère une motivation financière potentielle. Il est possible que Hive0145 vende les e-mails volés à des partenaires affiliés dans le but d’effectuer d’autres escroqueries aux faux ordres de virement.
Hive0145 est un acteur de la menace cybercriminel en pleine progression qui cherche à infecter ses victimes dans le but d’obtenir des identifiants de messagerie valides. Les observations suggèrent que le vol d’identifiants de messagerie, par le biais de campagnes initiales, a conduit à un vol supplémentaire d’e-mails valides utilisés dans des campagnes ultérieures de détournement de pièces jointes. Le logiciel malveillant Stela Stealer continue d’être un outil efficace pour Hive0145 afin d’extraire des identifiants de messagerie.
La grande diversité des secteurs visés par les campagnes d’e-mails de Hive0145 augmente le risque pour les entreprises commerciales de toute l’Europe d’être prises pour cible. Il convient de noter que les entreprises situées dans les régions italophones, hispanophones, germanophones ou ukrainophones peuvent être exposées à un risque plus immédiat de campagne Hive0145. X-Force recommande une vigilance accrue concernant les pièces jointes reçues par e-mail et un examen attentif du type de fichier attendu.
X-Force recommande aux entreprises :
Indicateur
Type d'indicateur
Contexte
03853c56bcfdf87d71ba
SHA256
Stellar Loader (octobre 2024)
e50bea80513116a1988822
SHA256
Stellar Loader (mai 2024)
2cac42735170cd3f67111807
SHA256
Stellar Loader – Obscurcissement minimal (janvier 2024)
9a032497b82c3db8146cb6
SHA256
Charge utile de Strela Stealer
e4a7ad38aaea4bd27c32c57
SHA256
Charge utile de Strela Stealer
2f7ac330e100b577748bb34
SHA256
Stellar Loader (novembre 2024)
94.159.113[.]48
IPv4
Strela Stealer C2
94.159.113[.]86
IPv4
Strela Stealer C2
193.109.85[.]231
IPv4
Strela Stealer C2
5906c8e683b8eb9d2bc104f
SHA256
Variante .NET de Strela Stealer
