Cyber-espionnage en Europe centrale et Europe de l’Est

Prochain article

ESET a détecté et analysé plusieurs variantes de logiciels malveillants utilisées pour des campagnes d’espionnage ciblées (nommées SBDH toolkit). Au moyen de filtres puissants, de diverses méthodes de communication avec ses opérateurs et une technique de persistance intéressante, les malwares exfiltrent des données d’institutions gouvernementales et publiques. Ces données portent sur la croissance économique et la coopération en Europe Centrale et Orientale. Les conclusions d'ESET sur SBDH ont été présentées par les chercheurs Tomáš gardon et Robert Lipovský lors de la « Conférence sur la cybercriminalité en 2016 » de Copenhague.

Cette boîte à outils, sous sa forme initiale, se répand par e-mail de type phishing contenant un exécutable qui possède une double extension et qui prend en compte que le comportement par défaut de MS Windows cache l’extension des fichiers, augmentant ainsi les chances que la cible exécute le fichier. Pour augmenter ses chances d'être exécutée par le destinataire, cette menace utilise les icônes légitimes de plusieurs applications Microsoft ou de documents Word.

Cette boîte à outils, sous sa forme initiale, se répand par e-mail de type phishing contenant un exécutable qui possède une double extension et qui prend en compte que le comportement par défaut de MS Windows cache l’extension des fichiers, augmentant ainsi les chances que la cible exécute le fichier. Pour augmenter ses chances d'être exécutée par le destinataire, cette menace utilise les icônes légitimes de plusieurs applications Microsoft ou de documents Word.

Les composants de cet outil d’espionnage nécessitent une connexion au serveur C&C : le malware dépend donc fortement de la qualité du réseau de communication.

Pour augmenter ses chances, il utilise plusieurs méthodes de connexion. D'abord, il tente d'utiliser le protocole HTTP. Si cela échoue, le malware SBDH tente de communiquer via le protocole SMTP en utilisant une passerelle externe libre.

En dernier recours, il a la capacité de communiquer en injectant des emails spécialement conçus dans Microsoft Outlook Express. Ainsi, les e-mails sont envoyés avec le compte de l'utilisateur actuellement connecté, permettant au malware de contourner les mesures de sécurité (en supposant que l'utilisateur ait les droits pour envoyer et recevoir des e-mails). Ces messages malveillants créés par les malwares sont directement placés dans la boîte d'envoi de la victime, afin d'éviter d’attirer leur attention.

Pour recevoir leurs ordres, les logiciels malveillants fouillent dans la boîte de réception de la victime afin d'identifier les e-mails reçus ayant un sujet spécifique. Si la boîte à outils SBDH toolkit trouve ces e-mails, ils sont analysés et vérifiés pour y trouver des instructions. Enfin, les sujets de ces e-mails sont modifiés pour empêcher tout examen ultérieur par le malware.

 

Cependant, cette dernière option était utilisée jusqu'en 2006, lorsque la nouvelle application Windows Mail remplaça Outlook Express. Depuis, les développeurs de la boîte à outils SBDH toolkit ont amélioré leur méthode de communication HTTP et ont utilisé de faux fichiers d'image (.jpg, .gif) pour transporter les données.

En cas d'indisponibilité du serveur C&C, le malware possède une solution de repli - une URL codée en dur pointant vers une fausse image (hébergée sur un blog web gratuit) qui contient l'adresse alternative d’un serveur C&C.

Certains des échantillons analysés de ce composant mettent en œuvre une méthode de persistance intéressante puisque le malware manipule le gestionnaire de documents Word. Cela signifie qu’à chaque tentative d’ouverture et d’édition d’un document Word, le logiciel malveillant est exécuté.

 

Si vous vous demandez d’où vient le nom de la boîte à outils, le terme "SBDH" a été trouvé dans le chemin de compilation de son « downloader » et - plus intéressant- la chaîne "B64SBDH", agit comme un déclencheur pour télécharger le reste des composants à partir d'un serveur distant.

En utilisant les techniques similaires à celles du malware utilisé lors de l'opération Buhtrap, ce cas d’espionnage prouve que les APTs utilisent des moyens simples pour se propager, tels que des pièces jointes malveillantes. Ces techniques peuvent être repérées par des salariés correctement formés et leurs impacts atténués par la mise en œuvre d'une solution de sécurité multicouche fiable.

Hachage :

 

1345b6189441cd1ed9036ef098adf12746ecf7cb
15b956feee0fa42f89c67ca568a182c348e20ead
f2a1e4b58c9449776bd69f62a8f2ba7a72580da2
7f32cae8d6821fd50de571c40a8342acaf858541
5DDBDD3CF632F7325D6C261BCC516627D772381A
4B94E8A10C5BCA43797283ECD24DF24421E411D2
D2E9EB26F3212D96E341E4CBA7483EF46DF8A1BE
09C56B14DB3785033C8FDEC41F7EA9497350EDAE