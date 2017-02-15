Rédigé par l’équipe IBM X-Force Incident Response and Intelligence Services (IRIS).
Les chercheurs de l’équipe X-Force Incident Response and Intelligence Services (IRIS) ont identifié un chaînon manquant dans les opérations d’un acteur de la menace impliqué dans les attaques récentes de Shamoon contre des organisations des pays du Golfe. Ces attaques, survenues en novembre 2016 et janvier 2017, auraient affecté des milliers d’ordinateurs dans plusieurs organisations gouvernementales et civiles en Arabie saoudite et ailleurs dans les pays du Golfe. Shamoon est conçu pour détruire les disques durs des ordinateurs en effaçant le master boot record (MBR) et les données de manière irrémédiable, contrairement aux ransomwares, qui prennent les données en otage moyennant des frais.
Grâce à leurs récentes investigations, nos analystes en criminalistique ont identifié le vecteur de compromission initial et les opérations post-compromission ayant conduit au déploiement du logiciel malveillant destructeur Shamoon sur les infrastructures ciblées. Il convient de mentionner que, selon X-Force IRIS, la compromission initiale a eu lieu plusieurs semaines avant le déploiement et l’activation de Shamoon.
Comme les incidents de Shamoon comportent les phases d’infiltration et d’escalade d’attaques ciblées, les intervenants IRIS de X-Force ont recherché le point d’entrée des assaillants. Leurs conclusions ont mis en évidence ce qui semble être le point de compromission initial utilisé par les attaquants : un document contenant une macro malveillante qui, une fois autorisée à s’exécuter, permettait la communication C2 avec le serveur de l’attaquant et le shell distant via PowerShell.
Ce document n’est pas le seul à avoir été découvert lors des récentes vagues d’attaques. Les chercheurs de X-Force IRIS avaient suivi une activité antérieure associée à des documents malveillants similaires, contenant du code PowerShell et présentés comme des CV et des documents de ressources humaines, dont certaines étaient liées à des organisations en Arabie saoudite. Cette recherche a identifié plusieurs épisodes d’activités offensives survenues ces derniers mois, révélant des méthodes opérationnelles similaires : les attaquants diffusaient des documents malveillants et d’autres logiciels malveillants exécutables à partir de serveurs Web à leurs cibles, afin de s’infiltrer dans le réseau.
Newsletter sectorielle
Restez au fait des tendances les plus étonnantes du secteur dans le domaine de l’IA, de l’automatisation, des données et bien d’autres avec la newsletter Think. Consultez la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
Bien que Shamoon ait déjà été documenté dans les blogs de recherche, les méthodes de compromission des réseaux ayant conduit aux attaques restaient floues dans les cas signalés. Les chercheurs de X-Force IRIS ont étudié le cycle de vie des attaques Shamoon et ont observé ses tactiques dans des entreprises saoudiennes et des sociétés du secteur privé. Cette recherche les a amenés à penser que l’acteur utilisant Shamoon lors des attaques récentes s’appuyait fortement sur des documents militarisés conçus pour exploiter PowerShell afin d’établir une première présence sur les réseaux et leurs opérations ultérieures :
Figure 1 : Attaque Shamoon : déroulement logique des événements
X-Force IRIS a identifié le document malveillant ci-dessous :
Nos chercheurs ont examiné le domaine qui hébergeait le premier fichier malveillant, mol.com-ho[.]me. Selon l’enregistrement WHOIS du domaine, un inscrit anonymisé a enregistré com-ho[.]me en octobre 2016 et l’a utilisé pour diffuser des documents malveillants présentant des fonctionnalités d’activation de macro similaires. La liste suivante de documents est incluse :
Ces fichiers ont très probablement été transmis par le biais d’e-mails d’hameçonnage ciblé pour amener les employés à lancer la charge malveillante à leur insu.
Un examen plus approfondi des noms de fichiers a révélé « IT Worx » et « MCI ». Une recherche du nom IT Worx fait apparaître une entreprise internationale de services logiciels professionnels dont le siège social est situé en Égypte. Le MCI est le ministère du commerce et de l’investissement de l'Arabie saoudite. Il est possible que ces noms aient été utilisés dans des e-mails de phishing ciblés, car ils sembleraient inoffensives aux yeux des employés saoudiens et les pousseraient à ouvrir la pièce jointe.
Les chercheurs de X-Force IRIS ont également déterminé que l’acteur de la menace à l’origine des documents malveillants en avait diffusé un grand nombre en utilisant un système de raccourcissement d’URL suivant le schéma suivant : briefl[.]ink/{a-z0-9}[5].
La figure suivante est un exemple de ce que les employés ont pu voir en ouvrant les fichiers Word malveillants qui leur ont été envoyés en préparation d’une attaque Shamoon :
Figure 2 : Document Word malveillant envoyé en préparation d’une attaque par le logiciel malveillant Shamoon (source : X-Force IRIS)
Les résultats DNS passifs sur un domaine de communication associé à l’attaque Shamoon ont révélé l’infrastructure réseau connexe, identifiant d’autres domaines utilisés par les acteurs de la menace.
X-Force IRIS a découvert que l’acteur de la menace hébergeait au moins un exécutable malveillant sur un serveur hébergé sur ntg-sa[.]com. Ce fichier faisait croire aux cibles qu’il s’agissait d’un programme d’installation du lecteur Flash qui introduisait un lot Windows pour invoquer PowerShell dans les mêmes communications C2.
L’analyse de l’un des documents de l’acteur de la menace a révélé que si la macro s’exécutait, elle lançait deux scripts PowerShell distincts. Le premier exécute un script PowerShell provenant de hxxp://139.59.46.154:3485/eiloShaegae1. L’hôte est peut-être lié à des attaques qui ont utilisé le Pupy RAT, un outil d’accès à distance multiplateforme accessible au public.
Le second script appelle VirtualAlloc pour créer un tampon, utilise memset pour charger le shellcode lié à Metasploit dans ce tampon et l’exécute via CreateThread. Metasploit est un cadre open source très utilisé pour développer et exécuter du code d’exploit contre une machine cible distante. Le shellcode effectue un XOR DWORD de 4 octets avec un décalage par rapport au début du shellcode qui modifie le code pour créer une boucle et que le XOR continue 0x57 fois.
Si cette exécution réussit, elle crée un tampon à l’aide de VirtualAlloc et appelle InternetReadFile dans une boucle jusqu’à ce que tout le contenu du fichier soit récupéré à partir de hxxp://45.76.128.165:4443/0w0O6. Cela est ensuite renvoyé sous forme de chaîne à PowerShell, qui appelle invoke-expression (iex) dessus, indiquant que la charge utile attendue est PowerShell.
À noter, la macro contenait une fonction DownloadFile() qui utilisait URLDownloadToFileA, mais celle-ci n’a jamais été réellement employée.
Sur la base des observations associées au document malveillant, nous avons observé des sessions shell ultérieures probablement associées au module Meterpreter de Metasploit qui ont permis le déploiement d’outils et de logiciels malveillants supplémentaires avant le déploiement de trois fichiers liés à Shamoon : ntertmgr32.exe, ntertmgr64.exe et vdsk911.sys. ntertmgr64.exe et vdsk911.sys.
Si la liste complète des victimes de Shamoon n’est pas publique, Bloomberg a rapporté que dans l’un des cas, des milliers d’ordinateurs ont été détruits au siège de l’Autorité générale de l’aviation civile d’Arabie saoudite, effaçant des données critiques et interrompant les opérations pendant plusieurs jours.
L’activité récente observée par X-Force IRIS chez les assaillants de Shamoon a été détectée en deux vagues, qui devraient s’atténuer en raison de l’attention publique suscitée par ces cas depuis fin 2016.
L’Arabie saoudite a alerté les entreprises locales au sujet du logiciel malveillant Shamoon, les informant du risque d’attaque et leur conseillant de s’y préparer. L’analyse et les mises en garde concernant Shamoon permettent aux cibles de s’y préparer, et les acteurs sont susceptibles de disparaître et de changer de tactique avant la prochaine vague d’attaques.
Pour plus de détails techniques sur cette recherche et les indicateurs de compromission associés, consultez l’avis X-Force sur X-Force Exchange.