Microsoft fait la lumière sur le travail d’un groupe de cybercriminels connu sous le nom de MuddyWater. Et ces pirates exploitent une vulnérabilité critique du logiciel de compression WinRAR combinée à du phishing.
Microsoft détaille une attaque détectée en mars contre des clients Windows dans les secteurs des satellites et des communications. Celle-ci exploite des « techniques inhabituelles et intéressantes » qui portent la marque du groupe APT MuddyWater.
L’Office 365 ATP de la société a récupéré des fichiers d’archives (ACE) chargés de la faille WinRAR récemment découverte, CVE-2018-20250, et largement utilisée ces derniers mois par des groupes de cybercriminalité et des hackers missionnés par des Etats.
Le phishing, toujours le phishing
Le 20 février, un rapport de Check Point révélait qu’un fichier ACE malveillant pouvait placer des logiciels malveillants n’importe où sur un PC Windows après avoir été extrait par WinRAR. Les emplacements incluent le dossier de démarrage de Windows, où le malware s’exécutera automatiquement à chaque redémarrage.
Un mois avant le rapport de Check Point, les développeurs de WinRAR publiaient une nouvelle versionsupprimant le support d’ACE en raison de l’impossibilité de mettre à jour la librairie Unacev2.dll de WinRAR contenant une faille.
Cependant, en mars, lorsque cette attaque a été détectée par Microsoft, il est probable qu’une grande partie des 500 millions d’utilisateurs de WinRAR dans le monde n’avaient pas mis à jour la version non-ACE ou n’avaient pas supprimé la DLL vulnérable.
Les activités du groupe MuddyWater ont été repérées pour la première fois en 2017. Ce dernier est connu pour cibler les utilisateurs au Moyen-Orient, en Europe et aux États-Unis. Le groupe falsifie fréquemment des documents au travers d’attaques de phishing pour usurper l’identité de services de sécurité de divers gouvernements.
L’attaque décrite par Rex Plantado de l’équipe de recherche de l’Office 365 ATP utilisait un courriel de phishing provenant en apparence du ministère des Affaires étrangères (MAE) de la République islamique d’Afghanistan. Le courriel a été envoyé à des « cibles très précises » pour les ressources, les services de télécommunications et les cartes satellites.
L’ingénierie sociale utilisée dans la campagne a été conçue pour assurer la compromission complète à distance d’une machine dans les limites de l’exploit WinRAR. Un document Word en pièce jointe suggère à l’utilisateur de télécharger un autre document à partir d’un lien OneDrive, sans macros incluses – un choix probablement fait pour éviter la détection.
Si le lien est cliqué, il télécharge un fichier archive avec le deuxième document Word, cette fois avec une macro malveillante. Si la victime ignore l’avertissement de sécurité concernant les macros, la charge utile du logiciel malveillant est transmise au PC.
Une charge utile baptisée dropbox.exe
Le document contient également un bouton ‘Page suivante’ qui affiche un faux avertissement relatif à un fichier DLL manquant et prétend que l’ordinateur doit redémarrer.
Une fois la macro activée, un script PowerShell collecte des informations sur le système, l’identifie avec un ID unique et l’envoie à un serveur distant. Le script est également le mécanisme clé pour récupérer le fichier ACE malveillant avec l’exploit pour CVE-2018-20250, qui déclenche une charge utile appelée dropbox.exe.
Si Check Point suggérait que le dossier Démarrage serait l’emplacement idéal pour installer le malware, Microsoft note qu’il est possible de déposer le fichier dans des dossiers SMB connus ou prédéterminés. Cependant, dans ce cas précis, dropbox.exe est déposé dans le dossier de démarrage dès que l’utilisateur tente d’extraire un des trois fichiers JPEG de l’archive ACE.
La référence à une DLL manquante et la nécessité de redémarrer l’ordinateur s’expliquent par le fait que CVE-2018-20250 ne permet aux logiciels malveillants que d’écrire des fichiers dans un dossier spécifié, mais sans fonctionnement immédiat. C’est pourquoi déposer la charge utile dans le dossier de Démarrage était idéal, car celle-ci se lancera après le redémarrage de l’ordinateur, détaille Plantado.
« La charge utile dropbox.exe effectue les mêmes actions que le composant macro malveillant, ce qui permet de s’assurer que la porte dérobée PowerShell fonctionne » précise encore le chercheur en sécurité.
« La porte dérobée PowerShell pourrait permettre à un attaquant distant de prendre le contrôle total de la machine compromise et d’en faire une rampe de lancement pour d’autres actions malveillantes. Il est essentiel d’exposer et d’arrêter les attaques dès les premiers stades pour prévenir l’impact supplémentaire, généralement plus dommageable, d’implantation de logiciels malveillants non détectés. »
L’analyste en sécurité de Microsoft note que la macro malveillante utilisait des techniques avancées pour échapper à la détection, y compris l’utilisation du propre moteur de script de Microsoft. Lors du processus, la macro exécute wscript.exe pour lancer le script PowerShell.
« Le script PowerShell lui-même ne touche pas le disque, ce qui en fait un composant sans fichier de la chaîne d’attaque. La technique consistant à utiliser des ressources déjà disponibles sur le système (par exemple, wscript.exe) pour exécuter du code malveillant directement en mémoire, est un autre moyen par lequel cette attaque tente d’échapper à la détection » note Plantado.
Pour en savoir plus: