Turla, un groupe d’attaquants tristement célèbre s’appuie désormais sur de nouveaux outils à base du langage PowerShell, le langage de scripts de Microsoft disponible par défaut sous Windows, pour améliorer ses capacités de persistance et de furtivité une fois les systèmes de ses victimes compromis.
Turla, également connu sous le nom de Snake, a ainsi récemment commencé à utiliser des scripts PowerShell afin de charger et d’exécuter du code directement en mémoire, sans passer par l’écriture d’un fichier. Grâce à ces outils basés sur PowerShell, Turla parvient ainsi à contourner les techniques de détection habituelles qui s’activent lorsqu’un exécutable malveillant est déposé sur le disque sous la forme d’un nouveau fichier.
Turla est un groupe d’espionnage rendu célèbre par ses logiciels malveillants complexes. On estime qu’il est opérationnel depuis au moins 2008, lorsqu’il a réussi à compromettre des systèmes de l’armée américaine. Le groupe a également été impliqué dans des attaques majeures contre de nombreuses entités gouvernementales en Europe et au Moyen-Orient, dont le ministère allemand des Affaires étrangères et l’armée française.
Récemment, les chercheurs ESET ont détecté plusieurs attaques contre des entités diplomatiques en Europe de l’Est, menées à l’aide de scripts PowerShell. « Mais il est probable que les mêmes scripts soient utilisés dans le monde entier contre d’autres cibles plus traditionnelles », estime Matthieu Faou, le chercheur qui a mené l’enquête au sein du laboratoire ESET.
Les chercheurs ESET ont publié un billet de blog détaillant leur analyse des scripts PowerShell mis en œuvre par Turla, afin d’aider les défenseurs à les contrer. « Outre les nouveaux loaders PowerShell de Turla, nous avons découvert et analysé plusieurs charges utiles intéressantes, y compris une porte dérobée basée sur RPC, et une autre reposant sur PowerShell et s’appuyant sur OneDrive, le service de stockage Cloud de Microsoft, comme serveur de commande et de contrôle », explique Matthieu Faou.
Les chargeurs PowerShell, détectés par ESET sous le nom générique de PowerShell/Turla, diffèrent des simples droppers habituels par leur capacité à persister sur le système en chargeant en mémoire les exécutables qu’ils embarquent à intervalle régulier. Dans certains cas observés par les chercheurs, les concepteurs de Turla ont même modifié leurs scripts PowerShell afin de contourner l’Antimalware Scan Interface (AMSI), l’interface standard de Windows qui permet d’analyser aisément les applications et les services du système.
Cette technique, qui a été dévoilée pour la première fois lors de la conférence Black Hat Asia 2018, fait en sorte que le produit antimalware ne peut pas recevoir les données de l’interface AMSI pour son analyse. « Mais ces techniques n’empêchent heureusement pas la détection des charges utiles malveillantes réelles en mémoire », explique Matthieu Faou.
Parmi les charges utiles récemment déployées par Turla, deux se distinguent en particulier. L’une est un ensemble de portes dérobées qui s’appuient sur le protocole RPC. Ces portes dérobées sont utilisées pour effectuer des mouvements latéraux et prendre le contrôle d’autres machines du réseau local sans dépendre d’un serveur C&C externe, plus facile à repérer.
Il convient enfin de noter également l’ajout de PowerStallion dans l’arsenal PowerShell du groupe Turla. Il s’agit d’une porte dérobée PowerShell légère utilisant Microsoft OneDrive comme serveur de commande et de contrôle comme indiqué précédemment. « Nous pensons que cette porte dérobée est un outil de récupération au cas où les portes dérobées principales de Turla seraient refermées et que les opérateurs ne pourraient ainsi plus accéder aux systèmes compromis », estime Matthieu Faou.
Face à la capacité des attaquants à développer des techniques toujours plus innovantes et perfectionnées, les chercheurs ESET s’engagent à suivre de près le groupe Turla et les autres acteurs-clés de type APT, à étudier leurs techniques, leurs tactiques et leurs procédures afin d’aider les défenseurs à protéger les réseaux dont ils ont la responsabilité.
Pour plus de détails sur le groupe Turla et d’autres acteurs APT, rendez-vous sur notre blog WeLiveSecurity.com
CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr