Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

MontysThree : le malware découvert par Kaspersky qui espionne les industries

octobre 2020 par Kaspersky

Les chercheurs de Kaspersky ont découvert une campagne d’espionnage très ciblée contre des industries, remontant à 2018. Le jeu d’outils utilisé dans le cadre de ces attaques - initialement nommé MT3 par les auteurs du malware - a été baptisé MontysThree par les équipes Kaspersky. MontysThree utilise diverses techniques pour échapper à la détection : il héberge par exemple les communications qu’il effectue avec le serveur de contrôle de l’entreprise sur du cloud public, et cache son principal module malveillant à l’aide de la stéganographie.

Si les entités gouvernementales qui possèdent un grand nombre d’informations confidentielles et sensibles représentent une cible privilégiée des campagnes APT, les campagnes d’espionnage visant des entités industrielles sont plus rares. Mais, comme toute attaque, ces campagnes peuvent avoir des conséquences très lourdes pour l’entreprise.

Les campagnes d’espionnage menées à l’aide de MontysThree reposent sur le déploiement d’un programme malware, composé de quatre modules. Le premier module, le chargeur (loader), est initialement diffusé à l’aide de fichiers RAR SFX (archives auto-extractibles) contenant des noms liés aux listes de contacts des employés, de la documentation technique ou encore des résultats d’analyses médicales, afin d’inciter les employés à télécharger les fichiers. Une approche très ciblée donc, qui constitue une technique courante de spear phishing[1]. Le chargeur diffusé permet d’assurer que le logiciel malveillant n’est pas détecté sur le système espionné. Pour ce faire, il déploie une technique appelée stéganographie.

Plusieurs techniques de cryptage utilisées

La stéganographie est une pratique utilisée par les pirates informatiques pour dissimuler le fait que des données sont en train d’être échangées. Dans le cas de MontysThree, la principale charge utile malveillante est déguisée en fichier bitmap (un format d’images numériques constituées d’une matrice de pixels). Si la bonne commande est entrée, le chargeur utilisera un algorithme spécifique pour décrypter le contenu de cette matrice de pixels, et exécuter la charge utile malveillante.

La principale charge utile malveillante utilise par ailleurs des techniques de cryptage qui lui sont propres pour échapper à la détection, à savoir l’utilisation d’un algorithme RSA pour crypter les communications avec le serveur de contrôle, et, à l’inverse, décrypter les tâches qui sont assignées par le malware. Cela inclut la recherche de documents comportant certaines extensions précises, situés dans certains répertoires prédéterminés. MontysThree est en effet conçu pour cibler spécifiquement les documents Microsoft et Adobe Acrobat ; il peut également effectuer des captures d’écran et récupérer les empreintes des cibles (c’est-à-dire recueillir des informations sur les paramètres de leur réseau, le nom de l’hôte, etc.), afin de permettre aux attaquants de voir s’il y a un intérêt pour eux.

Les informations collectées et les autres communications avec le serveur de contrôle sont ensuite hébergées sur des services de cloud public comme Google, Microsoft et Dropbox. Il est donc difficile de détecter le trafic de communication comme étant malveillant, et comme aucun antivirus ne bloque ces services considérés comme légitimes, le serveur de contrôle peut exécuter des commandes sans interruption.

MontysThree utilise également une méthode simple pour s’assurer de sa persistance sur le système infecté : il a recours à un « modificateur » pour le lancement rapide de Windows (Windows Quick Launch). Les utilisateurs exécutent en effet d’eux-mêmes, à leur insu, le module initial du logiciel malveillant chaque fois qu’ils lancent l’exécution d’applications légitimes (navigateurs ou autres), lorsqu’ils utilisent la barre d’outils de lancement rapide.

Enfin, il est à noter que Kaspersky n’a pu trouver aucunes similitudes entre le code malveillant ou l’infrastructure de MontysThree et ceux d’autres APT connues.

« MontysThree est intéressant non seulement parce qu’il cible des groupes industriels, mais aussi parce qu’il combine des TTP (Tactics, Techniques and Procedures) sophistiqués et quelque peu amateurs. En général, la sophistication varie d’un module à l’autre, mais elle n’est ici pas comparable au niveau des APT les plus abouties. Cependant, MontysThree utilise des normes cryptographiques solides et des approches technologiques poussées, comme la stéganographie personnalisée. Peut-être plus important encore, les attaquants ont fait des efforts considérables pour développer la boîte à outils de MontysThree. Cela montre leur détermination, et suggère également que cette campagne n’est pas censée être de courte durée », commente Denis Legezo, chercheur cybersécurité au sein de l’équipe Global Research and Analysis Team (GReAT) de Kaspersky.

Plus de détails sur MontysThree sont disponibles sur le blog de Kaspersky Securelist, et des informations détaillées sur les indicateurs de compromission liés à ce groupe, y compris les hachages de fichiers, sont accessibles sur le portail Kaspersky Threat Intelligence.

Pour se protéger d’attaques similaires à celles de MontysThree, les experts Kaspersky recommandent aux entreprises les mesures suivantes :

- Fournir à ses équipes une formation de base en matière de cybersécurité, car de nombreuses attaques ciblées commencent par le phishing ou d’autres techniques d’ingénierie sociale. Effectuer une simulation de phishing auprès des salariés peut être un moyen de vérifier que ceux-ci sont en mesure de reconnaître des emails de phishing.
- Fournir à son équipe SOC l’accès aux dernières informations sur les menaces (ce qu’on appelle la Threat Intelligence). Kaspersky Threat Intelligence Portal constitue à cet égard un point d’accès unique pour la Threat Intelligence de l’entreprise, qui fournit des données sur les cyberattaques et des informations - Déployer des solutions EDR, telles que Kaspersky Endpoint Detection and Response, pour la détection d’attaques au niveau des endpoints, l’enquête et la résolution rapide des incidents.
- En plus d’une protection endpoint, mettre en œuvre une solution de sécurité adaptée à l’entreprise, permettant de détecter les menaces avancées au niveau du réseau à un stade précoce, comme la plateforme Kaspersky Anti Targeted Attack.

- Veiller à protéger les endpoints industriels avec autant de vigilance que les points endpoints plus généraux de l’entreprise. A titre d’exemple, la solution Kaspersky Industrial CyberSecurity comprend une protection dédiée des points d’extrémité et une surveillance du réseau pour détecter toute activité suspecte et potentiellement malveillante sur le réseau industriel.




Voir les articles précédents

    

Voir les articles suivants