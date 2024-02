L’acteur iranien présumé UNC1549 cible les secteurs de l’aérospatiale et de la défense d’Israël et du Moyen-Orient

février 2024 par Marc Jacob

Mandiant publie une étude sur une activité d’espionnage suspectée d’être liée à l’Iran et visant les secteurs de l’aérospatiale, de l’aviation et de la défense dans les pays du Moyen-Orient, notamment Israël et les Émirats Arabes Unis, et potentiellement la Turquie, l’Inde et l’Albanie.

Mandiant attribue cette activité, avec un degré de confiance moyen, à l’acteur iranien UNC1549, auquel appartient Tortoiseshell - un hacker qui a été publiquement lié au Corps des gardiens de la révolution islamique d’Iran (IRGC). Tortoiseshell a déjà tenté de compromettre des chaînes d’approvisionnement en ciblant des entreprises de défense et des fournisseurs de technologies de l’information.

Le lien potentiel entre cette activité et le CGRI iranien est important, étant donné l’accent mis sur les entités liées à la défense et les tensions récentes avec l’Iran, à la lumière de la guerre entre Israël et le Hamas. Mandiant a notamment observé une campagne sur le thème de la guerre Israël-Hamas qui se fait passer pour le mouvement "Bring Them Home Now", qui appelle au retour des Israéliens kidnappés et retenus en otage par le Hamas.

Cette activité présumée de l’UNC1549 est active depuis au moins juin 2022, et est toujours en cours en février 2024. Bien que de nature régionale et principalement axée sur le Moyen-Orient, elle vise des entités opérant dans le monde entier.

Mandiant a observé que cette campagne déployait de multiples techniques d’évasion pour masquer son activité, en particulier l’utilisation intensive de l’infrastructure cloud Microsoft Azure, ainsi que des schémas d’ingénierie sociale pour diffuser deux portes dérobées uniques : MINIBIKE et MINIBUS.

Attribution

Mandiant estime avec un degré de confiance modéré que cette activité a des liens avec UNC1549, un groupe d’espionnage basé en Iran, qui recoupe des activités connues publiquement sous les noms de Tortoiseshell et Smoke Sandstorm/BOHRIUM.

Un faux site web de recrutement (1stemployer[.]com) a été observé en train d’héberger une charge utile MINIBUS en novembre 2023. Le modèle utilisé pour le faux site web de recrutement avait été utilisé précédemment dans un autre faux site web de recrutement : careers-finder[.]com, qui a été utilisé par UNC1549.

• Dans cette campagne, la porte dérobée MINIBUS était hébergée sur un faux site d’emploi (1stemployer[.]com) utilisant exactement le même contenu écrit que careers-finder[.]com utilisé par UNC1549 au début de l’année 2022, par exemple : "Après avoir examiné votre parcours professionnel et votre formation, nous vous présentons aux entreprises employeurs qui recherchent les compétences et l’expertise indiquées.

• En outre, comme dans les activités précédentes de l’UNC1549, cette campagne s’est appuyée sur des applications .NET pour diffuser leurs logiciels malveillants - cette fois-ci, les attaquants ont utilisé une fausse application affiliée au Hamas pour diffuser la porte dérobée MINIBUS.

Selon les rapports publics, Tortoiseshell, qui est lié à l’UNC1549, est potentiellement lié au Corps des gardiens de la révolution iranienne (IRGC).

Mandiant a observé un lien supplémentaire entre cette vague d’attaques et l’Iran, sous la forme d’un test d’outil potentiel mené à la mi-2022, qui avait des liens étroits avec l’Iran :

• En juin 2022, une première instance de MINIBIKE a été soumise à un dépôt public de logiciels malveillants en provenance d’Iran (MD5 : adef679c6aa6860aa89b775dceb6958b).

• Cette instance MINIBIKE communiquait avec un VPS géolocalisé en Iran (adresse IP : 158.255.74[.]25), contrairement aux autres instances MINIBIKE qui utilisent des sous-domaines Azure comme C2.

• En outre, la version MINIBIKE déployée dans le cadre de cette opération comportait des caractéristiques uniques, comme l’utilisation de l’application Microsoft SharePoint légitime comme leurre. Ces caractéristiques ont été modifiées dans les versions ultérieures, ce qui donne à penser que cette activité était un premier test d’outil plutôt qu’un implant pleinement opérationnel.

En outre, le ciblage d’entités du Moyen-Orient affiliées aux secteurs de l’aérospatiale et de la défense est cohérent avec d’autres groupes d’activités liés à l’Iran, dont certains sont également affiliés au Corps des gardiens de la révolution islamique (CGRI).

Perspectives et implications

Les recherches de Mandiant indiquent que cette campagne est toujours active en février 2024 et qu’elle a ciblé des entités liées à la défense, à l’aérospatiale et à l’aviation au Moyen-Orient, en particulier en Israël et dans les Émirats arabes unis, et potentiellement en Turquie, en Inde et en Albanie également.

Les renseignements recueillis sur ces entités sont pertinents pour les intérêts stratégiques iraniens et peuvent être exploités à des fins d’espionnage et d’opérations cinétiques. Les liens potentiels entre l’UNC1549 et le Corps des gardiens de la révolution islamique (CGRI) iranien confirment cette hypothèse.

Les méthodes d’évasion déployées dans le cadre de cette campagne, à savoir les leurres personnalisés sur le thème de l’emploi et l’utilisation d’une infrastructure en nuage pour le C2, peuvent compliquer la tâche des défenseurs des réseaux qui cherchent à prévenir, détecter et atténuer cette activité. Les renseignements et les indicateurs fournis dans le présent rapport peuvent soutenir et renforcer ces efforts.

Cycle de vie d’une attaque

Cette campagne présumée de l’UNC1549 utilise deux méthodes principales pour obtenir un accès initial aux cibles : le spear-phishing et la collecte d’informations d’identification. Une chaîne d’attaque typique se compose de plusieurs étapes :

1. Courriels de spear-phishing ou correspondance sur les médias sociaux, diffusant des liens vers de faux sites web contenant du contenu lié à Israël et au Hamas ou de fausses offres d’emploi. Ces sites web conduisent finalement au téléchargement d’une charge utile malveillante.

• Les fausses offres d’emploi concernaient des postes liés à la technologie et à la défense, en particulier dans les secteurs de l’aviation, de l’aérospatiale ou de l’imagerie thermique.

• Mandiant a également observé que certains des faux sites d’emploi qui hébergeaient des charges utiles malveillantes ont également été utilisés en 2023 pour collecter des informations d’identification.

1. Livraison de la charge utile, téléchargée depuis les sites web mentionnés ci-dessus sur l’ordinateur de la cible. La charge utile est une archive compressée qui comprend généralement deux paquets principaux :

• MINIBIKE ou MINIBUS - deux portes dérobées uniques déployées au moins depuis 2022 (MINIBIKE) et 2023 (MINIBUS), offrant une fonctionnalité de porte dérobée complète (voir l’analyse technique ci-dessous).

• Un leurre bénin sous la forme d’une application comme OneDrive (MINIBIKE) ou, dans le cas de MINIBUS, d’une application personnalisée présentant un contenu lié aux Israéliens kidnappés par le Hamas, hébergée sur le faux site web birngthemhomenow[.]co[.]il mentionné plus haut.

2. Installation de la charge utile et compromission de l’appareil, après que les portes dérobées MINIBIKE ou MINIBUS ont établi une communication de commande et de contrôle (C2), dans la plupart des cas via l’infrastructure en nuage Microsoft Azure.

• L’accès à l’appareil peut être exploité à des fins multiples, notamment pour la collecte de renseignements et comme tremplin pour un accès ultérieur au réseau ciblé.

• Cette étape peut être soutenue par l’utilisation de LIGHTRAIL, un tunnelier unique utilisé dans la campagne (voir détails ci-dessous).

Cette campagne présumée de l’UNC1549 a déployé plusieurs techniques d’évasion pour masquer son activité :

• L’utilisation de l’infrastructure Microsoft Azure pour le commandement et le contrôle (C2) et l’hébergement, ce qui rend difficile la distinction entre l’activité et le trafic réseau légitime. Dans certains cas, des serveurs géolocalisés dans les pays ciblés (Israël et Émirats arabes unis) ont été utilisés, ce qui a permis de masquer davantage l’activité.

• Utiliser des schémas de dénomination de domaine qui incluent des chaînes de caractères qui sembleraient légitimes aux yeux des défenseurs du réseau, comme des pays, des noms d’organisations, des langues ou des descriptions en rapport avec le secteur ciblé. Voici quelques exemples de domaines Azure indicatifs :

•

o ilengineeringrssfeed[.]azurewebsites[.]net ("IL Engineering RSS Feed")

o hiringarabicregion[.]azurewebsites[.]net ("Embauche région arabe")

o turkairline[.]azurewebsites[.]net ("Turk Airline")

• Utiliser des leurres sur le thème de l’emploi, en proposant divers postes dans le domaine des technologies de l’information et de la communication qui sont susceptibles d’être diffusés de manière légitime. L’une de ces fausses offres d’emploi est présentée dans la figure ci-dessous.

Familles de logiciels malveillants

Mandiant a observé les familles de logiciels malveillants personnalisées suivantes, utilisées dans le cadre de l’activité présumée de l’UNC1549 :

MINIBIKE : Quand les chats volent (sous le radar)

MINIBIKE est un logiciel malveillant personnalisé écrit en C++, utilisé depuis au moins juin 2022. Une fois installé, MINIBIKE offre une fonctionnalité de porte dérobée complète, y compris l’énumération de répertoires et de fichiers, la collecte de fichiers et d’informations système, le téléchargement de fichiers et l’exécution de processus supplémentaires.

La plateforme MINIBIKE se compose généralement de trois utilitaires regroupés dans une archive, livrée par spear-phishing :

1. La porte dérobée MINIBIKE, généralement sous la forme d’un fichier .dll ou .dat.

2. Un lanceur, exécuté par search-order-hijacking (SoH), déployant MINIBIKE et définissant sa persistance à l’aide de clés de registre.

3. Un exécutable légitime/faux, utilisé pour masquer le déploiement malveillant du MINIBIKE. Mandiant a observé que différentes versions de MINIBIKE utilisent trois applications à cette fin : Microsoft SharePoint, Microsoft OneDrive et une fausse application .NET liée au Hamas.

La plateforme MINIBIKE est utilisée depuis au moins juin 2022 et a été progressivement développée en plusieurs versions distinctes les unes des autres en termes de caractéristiques et de fonctionnalités. Bien que Mandiant n’ait pas observé de numéros de version intégrés, les instances MINIBIKE peuvent être divisées selon les versions suivantes :

MINIBUS : un successeur à RoBUSt ?

Mandiant a observé une deuxième porte dérobée déployée dans le cadre de cette campagne, qui présente de nombreuses similitudes avec MINIBIKE et a donc été baptisée MINIBUS. La plateforme MINIBUS est utilisée depuis au moins août 2023, probablement en même temps que les dernières versions de MINIBIKE, mais pas nécessairement pour cibler les mêmes victimes.

MINIBUS est une plate-forme plus avancée et plus moderne que MINIBIKE : bien que ses fonctionnalités et sa base de code soient similaires, MINIBUS contient moins de fonctions intégrées et une interface de commande et d’exécution de code plus souple, ainsi que des fonctions de reconnaissance plus avancées.

Cela pourrait faire de la plate-forme MINIBUS une option plus appropriée pour un opérateur expérimenté qui, au lieu d’utiliser des fonctions prêtes à l’emploi, pourrait avoir besoin d’une plate-forme plus flexible. Un tel opérateur peut se préoccuper de la sécurité opérationnelle (OpSec), éventuellement au début d’une opération plus élaborée.

Voici une liste plus détaillée des principales différences entre les plateformes MINIBIKE et MINIBUS :

Fonctionnalité :

• MINIBUS comporte moins de commandes et de fonctions intégrées que MINIBIKE. En revanche, MINIBUS offre une interface de commande et d’exécution de code plus souple - y compris la possibilité d’exécuter un exécutable (par exemple, un éventuel implant de l’étape suivante) à l’aide d’une seule commande, contrairement à MINIBIKE.

• MINIBUS dispose d’une fonction d’énumération des processus. Une liste de processus générée par MINIBUS peut être utile pour éviter la détection, par exemple en identifiant les processus liés aux utilitaires de la machine virtuelle (VM) ou aux applications de sécurité (telles qu’un EDR).

Exportation des noms de DLL : Le paquet MINIBUS contient des DLL portant les noms "torvaldinitial.dll" pour son lanceur/installateur et "torvaldspersist.dll" pour sa charge utile, contrairement à MINIBIKE qui utilise des noms de DLL d’exportation tels que "Dr2.dll" ou "MspUpdate.dll" (pour ses lanceurs) et "Mini-Junked.dll" ou "Micro.dll" (pour ses charges utiles).

Communication C2 : MINIBUS utilise une combinaison de sous-domaines Azure et de domaines *.com uniques pour les communications C2, contrairement à MINIBIKE qui s’appuie uniquement sur l’infrastructure Azure.

Leurres et thèmes : MINIBUS a déployé des leurres liés à la guerre entre Israël et le Hamas, notamment une fausse application .NET dont les thèmes et le contenu abusent du mouvement "Bring Them Home Now", qui réclame le retour des otages israéliens enlevés par le Hamas.

Ciblage et géographie : comme MINIBIKE, Mandiant a observé que MINIBUS ciblait Israël et peut-être l’Inde et les Émirats arabes unis. En outre, un domaine C2 de MINIBUS (cashcloudservices[.]com) avait un sous-domaine avec le préfixe nsalbaniahack[.]*, ce qui suggère un intérêt pour l’Albanie également, ce qui est cohérent avec les intérêts de l’Iran mais n’a pas encore été observé dans une activité liée à MINIBIKE.

LIGHTRAIL : Une autoroute pour aller où ?

En plus des portes dérobées MINIBIKE et MINIBUS, Mandiant a observé un tunnelier nommé LIGHTRAIL probablement affilié à UNC1549.

LIGHTRAIL a plusieurs liens avec MINIBIKE et MINIBUS sous la forme (1) d’une base de code partagée ; (2) d’une infrastructure C2 Azure avec des schémas et des noms similaires ; et (3) de cibles et d’une victimologie qui se chevauchent.

LIGHTRAIL communique avec un sous-domaine Azure C2 de la forme *[.]*[.]cloudapp[.]azure[.]com. Mandiant estime avec un degré de confiance moyen que LIGHTRAIL et MINIBIKE ont été utilisés pour cibler au moins une fois le même environnement victime.

LIGHTRAIL exploite probablement l’utilitaire open source "Lastenzug" ("train de marchandises" en allemand), un proxy Socks4a basé sur des websockets avec une "obfuscation statique au niveau de l’assemblage". La DLL d’exportation de LIGHTRAIL s’appelle "lastenzug.dll", et elle partage le même User Agent codé en dur que Lastenzug :

Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10136

Mandiant a observé deux versions de LIGHTRAIL utilisées au moins depuis novembre 2022. Comme pour MINIBIKE, aucune version "officielle" n’a été intégrée dans le code de LIGHTRAIL, mais les instances peuvent être divisées en deux versions :

Récolte de titres de compétences et fausses offres d’emploi

Mandiant a observé que plusieurs sites web hébergeant des charges utiles MINIBIKE ont également hébergé de fausses pages de connexion au milieu de l’année 2023, se faisant passer pour des offres d’emploi au nom d’entreprises légitimes liées à la défense et à la technologie. Plus précisément, ces entreprises étaient affiliées aux secteurs de l’aérospatiale, de l’aviation et de l’imagerie thermique.

Les fausses pages de connexion étaient hébergées sur les URL suivantes :

• hxxps ://boeing-careers[.]com/careers/auth - se fait passer pour la société aérospatiale Boeing

• hxxps ://teledyneflir[.]com[.]de/careers/auth - se fait passer pour Teledyne FLIR, un fabricant d’appareils d’imagerie thermique

En outre, Mandiant a observé un faux domaine se faisant passer pour DJI, une société de fabrication de drones, hébergeant des documents de description de poste, parallèlement à un fichier .zip MINIBIKE.

Les documents ont probablement été utilisés comme appâts dans le cadre d’opérations d’ingénierie sociale, soit pour exécuter des fichiers malveillants, soit pour collecter des informations d’identification (voir les figures ci-dessous) :

hxxps ://dji[.]de[.]com/jd/Marketing%20and%20Sales%20Cousultant.docx (MD5 : ec6a0434b94f51aa1df76a066aa05413)

hxxps ://dji.de.com/jd/Telecommunication%20Manager.docx (MD5 : 89107ce5e27d52b9fa6ae6387138dd3e)

hxxps ://dji.de.com/jd/Project%20Manager.docx (MD5 : 4a223bc9c6096ac6bae3e7452ed6a1cd)

Annexe technique - MINIBIKE Analyse technique

Mandiant a observé les versions suivantes de MINIBIKE déployées depuis 2022 :

Version 1.x - juin-novembre 2022 :

• Charge utile : Archive IMG nommée Screenshot.img (exemple MD5 : 409c2ac789015e76f9886f1203a73bc0), contenant les fichiers suivants :

•

o Screenshots.lnk - un fichier LNK du lanceur (MD5 : cb565b1bb128dfc20c8392974ff73e3f)

o Setup.exe - un exécutable OneDrive/SharePoint légitime (MD5 : 400d7190012517677dd5ef2e471f2cd1)

o secur32.dll - le lanceur MINIBIKE, exécuté via un détournement d’ordre de recherche (SoH) (MD5 : 54848d17aa76d807e2fd6d196a01ce84)

o configur.dll - la porte dérobée MINIBIKE (MD5 : e9ed595b24a7eeb34ac52f57eeec6e2b)

Note : La plupart des analyses ci-dessous se réfèrent à la version 1.0, mais la version 1.1 se comporte de manière similaire.

• Exécution : une fois l’archive IMG montée, le lanceur malveillant est exécuté via SoH et copie l’exécutable légitime et la porte dérobée MINIBIKE dans les chemins suivants :

Exécutable légitime : %LOCALAPPDATA%\Microsoft\OneDrive\configs\FileCoAuth.exe

MINIBIKE backdoor : %LOCALAPPDATA%\Microsoft\OneDrive\configs\secur32.dll

• Persistance : Le chargeur/installateur définit la persistance de la charge utile MINIBIKE en la déplaçant dans son répertoire de stockage et en définissant la clé de registre d’exécution suivante :

Clé : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OneDriveFileCoAuth.exe

Valeur : %LOCALAPPDATA%\Microsoft\OneDrive\configs\FileCoAuth.exe

• Nom de la DLL d’exportation :

Version 1.0 : "update.dll"

Version 1.1 : "Mini.dll"

• Agent utilisateur :

Version 1.0 : Mozilla/5.0 (Linux ; Android 6.0 ; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.82 Mobile Safari/537.36

Version 1.1 : Mozilla/5.0

• Infrastructure C2 :

Version 1.0 : 158.255.74[.]25

Version 1.1 : homefurniture[.]azurewebsites[.]net

• URI C2 :

Version 1.0 :

•

o /api/blogs/96752 - commande initiale de balise et de requête

o /api/blogs/result/96752 - commande/réponse à la demande

o /api/blogs/download/ - fichier de téléchargement

o /api/blogs/result/file/ - télécharger un fichier

Version 1.1 :

•

o /news/notifications/235722 - balise initiale et demande de commande

o /news/update/ - commande/réponse à la demande

o /news/image/ - télécharger le fichier

• Zones géographiques concernées : Émirats arabes unis, Turquie, Iran (tests d’outils potentiels)

Version 2.x - août-octobre 2023 :

• Charge utile : Archive ZIP, généralement nommée Survey.zip (exemple MD5 : 691d0143c0642ff783909f983ccb8ffd), contenant les fichiers suivants :

•

o Setup.exe - un exécutable légitime utilisé pour charger le programme d’installation (MD5 : ce1054d542dbd999401236f2ce20f826).

o secur32.dll - La porte dérobée MINIBIKE - (MD5 : 1e7cf4c172bdabe48714b402d2255707)

o lang.dat - un installateur MINIBIKE (MD5 : 909a235ac0349041b38d84e9aab3f3a1)

• Exécution : une fois l’exécutable légitime exécuté, le programme d’installation du MINIBIKE est chargé latéralement et les fichiers sont copiés dans les chemins d’accès suivants :

Exécutable légitime : %LOCALAPPDATA%\Microsoft\Internet Explorer\FileCoAuth.exe

MINIBIKE backdoor : %LOCALAPPDATA%\Microsoft\Internet Explorer\secur32.dll

• Persistance : Le chargeur/installateur définit la persistance de la charge utile MINIBIKE en la déplaçant dans son répertoire de stockage et en définissant la clé de registre d’exécution suivante :

Clé : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OneDrive FileCoAuth

Valeur : %LOCALAPPDATA%\Microsoft\Internet Explorer\secur32.dll

Note : La version 2.1 utilise "Image Photo Viewer" comme clé de registre.

• Nom de la DLL d’exportation :

Versions 2.0 et 2.1 : "Mini-Junked.dll"

Version 2.2 : "Micro.dll"

Note : Dans un seul cas, Mandiant a observé l’utilisation de "devobj.dll"

• Agent utilisateur :

Version 2.0 :

•

o Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/539.180 (KHTML, comme Gecko) Chrome/110.0.0.2 Safari/538.36

o Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/539.181 (KHTML, comme Gecko) Chrome/111.0.0.2 Safari/538.46

Version 2.1 :

•

o Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/539.181 (KHTML, comme Gecko) Chrome/111.0.0.2 Safari/538.36

o Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/539.181 (KHTML, comme Gecko) Chrome/111.0.0.2 Safari/538.46

Version 2.2 : Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/115.0.0.0 Safari/537.36

Note : Dans un seul cas, Mandiant a observé l’utilisation de l’agent utilisateur "Mozilla/5.0".

• Infrastructure C2 : Cette version du MINIBIKE communique avec trois à cinq sous-domaines Azure. Après chaque communication, elle utilise le C2 suivant dans une boucle, par exemple :

•

o blogvolleyballstatus[.]azurewebsites[.]net

o blogvolleyballstatusapi[.]azurewebsites[.]net

o marineblogapi[.]azurewebsites[.]net

• URI C2 :

Versions 2.0 et 2.1 :

•

o /news/notifications/ - balise initiale et commande de requête

o /news/update/ - commande/réponse à la demande

o /news/image/ - télécharger le fichier

Version 2.2 :

•

o /assets// index.html / favicon.ico / icon.svg - balise initiale et commande de requête

o /assets// - réponse à la commande/requête

o /assets// - fichier de téléchargement

o /assets// - télécharger le fichier

Note : Dans un seul cas, Mandiant a observé l’utilisation d’URI de la forme : blogs/.

• Zones géographiques concernées : Israël, Émirats arabes unis et potentiellement l’Inde

Annexe technique - Analyse MINIBUS

• Charge utile : Archive ZIP nommée bringthemhomenow.zip (MD5 : ef262f571cd429d88f629789616365e4), contenant les fichiers suivants :

•

o BringThemeHome.exe - un exécutable bénin (MD5 : ce1054d542dbd999401236f2ce20f826)

o Un installateur MINIBUS - secur32.dll (MD5 : c5dc2c75459dc99a42400f6d8b455250)

o CoreUIComponent.dll - la porte dérobée MINIBUS (MD5 : 816af741c3d6be1397d306841d12e206)

o essential.dat - une archive supplémentaire contenant le contenu du leurre (MD5 : 251894b3af0ece374ed6df223ab09cab)

• Exécution : une fois l’exécutable légitime exécuté, le programme d’installation de MINIBUS est installé par le biais d’un détournement d’ordre de recherche (SoH).

La DLL d’installation affiche un message indiquant que les fichiers sont en cours d’extraction :

Le contenu du leurre est déplacé vers l’emplacement prévu sur le système ciblé :

L’archive ZIP contient deux fichiers de leurre principaux ainsi que des fichiers de dépendance, essential.dat (MD5 : 251894b3af0ece374ed6df223ab09cab) :

•

o Application .NET leurre se faisant passer pour une application liée aux otages israéliens enlevés par le Hamas lors de l’attaque du 7 octobre contre Israël :

\BringThemeHomeNow\BringThemeHomeNow.exe [sic] (MD5 : dfed4468dd78ad2f5d762741df4c1755)

Figure 12 : Fausse application .NET "Bring Them Home Now" "BringThemeHomeNow.exe" [sic].

•

o Image de leurre :

\BringThemeHomeNow\petition.jpg (MD5 : c0060a0c26df9fed7fdcdb7d26ff921f)

Lors de l’exécution, l’application .NET vérifie d’abord l’existence d’un fichier de drapeaux qui indique si le leurre a déjà été exécuté sur l’appareil : %LOCALAPPDATA%\Commons\lg

Si le fichier n’existe pas, un écran de démarrage s’affiche avant d’entrer dans l’application. Si le fichier existe déjà, l’application affiche l’écran principal (voir la figure ci-dessus).

En plus d’afficher le contenu du leurre à la victime, la DLL d’installation copie la porte dérobée et les fichiers de dépendance dans leur répertoire de mise en scène, et elle définit également la persistance de la porte dérobée à l’aide de la clé d’exécution de registre suivante :

Clé : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\OneDriveCoUpdate

Valeur : %LOCALAPPDATA%\Microsoft\OneDrive\cache\logger\FileCoAuth.exe

• Infrastructure C2 : Cette version du MINIBIKE communique avec un sous-domaine Azure et deux domaines dédiés :

•

o vscodeupdater[.]azurewebsites[.]net

o cashcloudservices[.]com

o xboxplayservice[.]com

• Zones géographiques concernées : Israël et Inde, ainsi qu’éventuellement les Émirats arabes unis et l’Albanie, sur la base des sous-domaines suivants de cashcloudservices[.]com :

•

o dubai-ae0043[.]cashcloudservices[.]com

o nsalbaniahack[.]cashcloudservices[.]com

Détection et atténuation

Si vous êtes client de Google Chronicle Enterprise+, les règles Chronicle ont été ajoutées à votre pack de règles Emerging Threats et les IOC listés dans ce blog sont disponibles pour être classés par ordre de priorité avec Applied Threat Intelligence.

Indicateurs de compromis (IOC)

MINIBIKE

01cbaddd7a269521bf7b80f4a9a1982f

054c67236a86d9ab5ec80e16b884f733

1d8a1756b882a19d98632bc6c1f1f8cd

2c4cdc0e78ef57b44f11f7ec2f6164cd

3b658afa91ce3327dbfa1cf665529a6d

409c2ac789015e76f9886f1203a73bc0

601eb396c339a69e7d8c2a3de3b0296d

664cfda4ada6f8b7bb25a5f50cccf984

68f6810f248d032bbb65b391cdb1d5e0

691d0143c0642ff783909f983ccb8ffd

710d1a8b2fc17c381a7f20da5d2d70fc

75d2c686d410ec1f880a6fd7a9800055

909a235ac0349041b38d84e9aab3f3a1

a5e64f196175c5f068e1352aa04bc5fa

adef679c6aa6860aa89b775dceb6958b

bfd024e64867e6ca44738dd03d4f87b5

c12ff86d32bd10c6c764b71728a51bce

cf32d73c501d5924b3c98383f53fda51

d94ffe668751935b19eaeb93fed1cdbe

e3dc8810da71812b860fc59aeadcc350

e9ed595b24a7eeb34ac52f57eeec6e2b

eadbaabe3b8133426bcf09f7102088d4

MINIBUS

ef262f571cd429d88f629789616365e4

816af741c3d6be1397d306841d12e206

c5dc2c75459dc99a42400f6d8b455250

LIGHTRAIL

0a739dbdbcf9a5d8389511732371ecb4

36e2d9ce19ed045a9840313439d6f18d

aaef98be8e58be6b96566268c163b6aa

c3830b1381d95aa6f97a58fd8ff3524e

c51bc86beb9e16d1c905160e96d9fa29

a5fdf55c1c50be471946de937f1e46dd

Fausses offres d’emploi

ec6a0434b94f51aa1df76a066aa05413

89107ce5e27d52b9fa6ae6387138dd3e

4a223bc9c6096ac6bae3e7452ed6a1cd

Infrastructure C2 et d’hébergement

1stemployer[.]com

birngthemhomenow[.]co[.]il

boeing-careers[.]com

cashcloudservices[.]com

dubai-ae0043[.]cashcloudservices[.]com

nsalbaniahack[.]cashcloudservices[.]com

dji[.]de[.]com

jupyternotebookcollections[.]com

notebooktextcheckings[.]com

teledyneflir[.]com[.]de

vsliveagent[.]com

xboxplayservice[.]com

Sous-domaines Azure

airconnectionapi[.]azurewebsites[.]net

airconnectionsapi[.]azurewebsites[.]net

airconnectionsapijson[.]azurewebsites[.]net

airgadgetsolution[.]azurewebsites[.]net

airgadgetsolutions[.]azurewebsites[.]net

altnametestapi[.]azurewebsites[.]net

answerssurveytest[.]azurewebsites[.]net

apphrquestion[.]azurewebsites[.]net

apphrquestions[.]azurewebsites[.]net

apphrquizapi[.]azurewebsites[.]net

arquestionsapi[.]azurewebsites[.]net

arquestions[.]azurewebsites[.]net

audiomanagerapi[.]azurewebsites[.]net

audioservicetestapi[.]azurewebsites[.]net

blognewsalphaapijson[.]azurewebsites[.]net

blogvolleyballstatusapi[.]azurewebsites[.]net

blogvolleyballstatus[.]azurewebsites[.]net

boeisurveyapplications[.]azurewebsites[.]net

browsercheckap[.]azurewebsites[.]net

browsercheckingapi[.]azurewebsites[.]net

browsercheckjson[.]azurewebsites[.]net

changequestionstypeapi[.]azurewebsites[.]net

changequestionstypejsonapi[.]azurewebsites[.]net

changequestiontypesapi[.]azurewebsites[.]net

changequestiontypes[.]azurewebsites[.]net

checkapicountryquestions[.]azurewebsites[.]net

checkapicountryquestionsjson[.]azurewebsites[.]net

checkservicecustomerapi[.]azurewebsites[.]net

coffeeonlineshop[.]azurewebsites[.]net

coffeeonlineshoping[.]azurewebsites[.]net

connectairapijson[.]azurewebsites[.]net

connectionhandlerapi[.]azurewebsites[.]net

countrybasedquestions[.]azurewebsites[.]net

customerercareserviceapi[.]azurewebsites[.]net

customerercareservice[.]azurewebsites[.]net

emiratescheckapi[.]azurewebsites[.]net

emiratescheckapijson[.]azurewebsites[.]net

engineeringrssfeed[.]azurewebsites[.]net

engineeringssfeed[.]azurewebsites[.]net

exchtestcheckingapi[.]azurewebsites[.]net

échange de contrôleapi santé[.]azurewebsites[.]net

volhelicopterahtest[.]azurewebsites[.]net

helicopterahtest[.]azurewebsites[.]net

helicopterahtests[.]azurewebsites[.]net

helicoptersahtests[.]azurewebsites[.]net

hiringarabicregion[.]azurewebsites[.]net

homefurniture[.]azurewebsites[.]net

hrapplicationtest[.]azurewebsites[.]net

humanresourcesapi[.]azurewebsites[.]net

humanresourcesapijson[.]azurewebsites[.]net

humanresourcesapiquiz[.]azurewebsites[.]net

iaidevrssfeed[.]centralus[.]cloudapp[.]azure[.]com

iaidevrssfeed[.]centrualus[.]cloudapp[.]azure[.]com

iaidevrssfeed[.]cloudapp[.]azure[.]com

iaidevrssfeedp[.]cloudapp[.]azure[.]com

identifycheckapplication[.]azurewebsites[.]net

identifycheckapplications[.]azurewebsites[.]net

identifier les applications de vérification[.]azurewebsites[.]net

ilengineeringrssfeed[.]azurewebsites[.]net

integratedblognewfeed[.]azurewebsites[.]net

integratedblognewsapi[.]azurewebsites[.]com

integratedblognewsapi[.]azurewebsites[.]net

integratedblognews[.]azurewebsites[.]net

intengineeringrssfeed[.]azurewebsites[.]net

intergratedblognewsapi[.]azurewebsites[.]net

javaruntime[.]azurewebsites[.]net

javaruntimestestapi[.]azurewebsites[.]net

javaruntimetestapi[.]azurewebsites[.]net

javaruntimeversioncheckingapi[.]azurewebsites[.]net

javaruntimeversionchecking[.]azurewebsites[.]net

jupyternotebookcollection[.]azurewebsites[.]net

jupyternotebookcollections[.]azurewebsites[.]net

jupyternotebookscollection[.]azurewebsites[.]net

logsapimanagement[.]azurewebsites[.]net

logsapimanagements[.]azurewebsites[.]net

logupdatemanagementapi[.]azurewebsites[.]net

logupdatemanagementapijson[.]azurewebsites[.]net

manpowerfeedapi[.]azurewebsites[.]net

manpowerfeedapijson[.]azurewebsites[.]net

marineblogapi[.]azurewebsites[.]net

notebooktextchecking[.]azurewebsites[.]net

notebooktextcheckings[.]azurewebsites[.]net

notebooktexts[.]azurewebsites[.]net

onequestionsapi[.]azurewebsites[.]net

onequestionsapicheck[.]azurewebsites[.]net

onequestions[.]azurewebsites[.]net

openapplicationcheck[.]azurewebsites[.]net

optionalapplication[.]azurewebsites[.]net

personalitytestquestionapi[.]azurewebsites[.]net

personalizationsurvey[.]azurewebsites[.]net

qaquestionapi[.]azurewebsites[.]net

qaquestionsapi[.]azurewebsites[.]net

qaquestionsapijson[.]azurewebsites[.]net

qaquestions[.]azurewebsites[.]net

queryfindquestions[.]azurewebsites[.]net

queryquestions[.]azurewebsites[.]net

questionsapplicationapi[.]azurewebsites[.]net

questionsapplicationapijson[.]azurewebsites[.]net

questionsapplicationbackup[.]azurewebsites[.]net

questionsdatabases[.]azurewebsites[.]net

questionsurveyapp[.]azurewebsites[.]net

questionsurveyappserver[.]azurewebsites[.]net

quiztestapplication[.]azurewebsites[.]net

refaeldevrssfeed[.]centralus[.]cloudapp[.]azure[.]com

regionuaequestions[.]azurewebsites[.]net

registerinsurance[.]azurewebsites[.]net

roadmapselectorapi[.]azurewebsites[.]net

roadmapselector[.]azurewebsites[.]net

sportblogs[.]azurewebsites[.]net

surveyappquery[.]azurewebsites[.]net

surveyonlinetestapi[.]azurewebsites[.]net

surveyonlinetest[.]azurewebsites[.]net

technewsblogapi[.]azurewebsites[.]net

testmanagementapi1[.]azurewebsites[.]net

testmanagementapis[.]azurewebsites[.]net

testmanagementapisjson[.]azurewebsites[.]net

testquestionapplicationapi[.]azurewebsites[.]net

testtesttes[.]azurewebsites[.]net

tiappschecktest[.]azurewebsites[.]net

tnlsowkis[.]westus3[.]cloudapp[.]azure[.]com

tnlsowki[.]westus3[.]cloudapp[.]azure[.]com

turkairline[.]azurewebsites[.]net

uaeaircheckon[.]azurewebsites[.]net

uaeairchecks[.]azurewebsites[.]net

vscodeupdater[.]azurewebsites[.]net

workersquestionsapi[.]azurewebsites[.]net

workersquestions[.]azurewebsites[.]net

workersquestionsjson[.]azurewebsites[.]net