Quasar, Sobaken et Vermin : Une campagne d’espionnage en cours

Exploration en profondeur des RAT Quasar, Sobaken et Vermin

Les chercheurs d'ESET ont analysé des outils d'accès à distance utilisés par les cybercriminels pour une campagne d'espionnage en cours, visant à espionner systématiquement les institutions gouvernementales ukrainiennes et exfiltrer les données de leurs systèmes.

Les chercheurs d’ESET ont analysé des outils d’accès à distance utilisés par les cybercriminels pour une campagne d’espionnage en cours, visant à espionner systématiquement les institutions gouvernementales ukrainiennes et exfiltrer les données de leurs systèmes.

Dans cet article, nous résumerons l’intégralité des résultats publiés dans notre livre blanc Quasar, Sobaken and Vermin : A deeper look into an ongoing espionage campaign (Quasar, Sobaken and Vermin : Analyse en profondeur d’une campagne d’espionnage en cours).

Les attaquants derrière la campagne sont suivis par ESET depuis le milieu de l’année 2017. Leurs activités ont été révélées publiquement pour la première fois en janvier 2018. Notre analyse montre que ces cybercriminels continuent d’améliorer leurs campagnes, en développant de nouvelles versions de leurs outils d’espionnage.

Selon la télémétrie de l’ESET, les attaques ont été dirigées contre des institutions gouvernementales ukrainiennes, avec quelques centaines de victimes dans différentes organisations. Les attaquants utilisent des outils d’accès à distance furtifs (ou RAT, pour remote access tool) pour exfiltrer les documents sensibles des ordinateurs des victimes.

Figure 1 : Distribution du logiciel malveillant basée sur les systèmes de détection d’ESET (données cartographiques provenant de ©2018 Google, ORION ME)

Nous avons détecté trois souches différentes de logiciels malveillants.NET dans ces campagnes : Quasar RAT, Sobaken RAT, ainsi qu’un RAT sur mesure appelé Vermin. Les trois souches de logiciels malveillants ont été utilisées activement contre différentes cibles au même moment. Elles partagent de plus des parties de leur infrastructure et se connectent aux mêmes serveurs C&C.

Quasar est un RAT open-source, disponible gratuitement sur GitHub. Nous avons pu retracer les campagnes de ces menaçant à l’aide des binaires Quasar RAT remontant jusqu’en octobre 2015.

Sobaken est une version fortement modifiée du Quasar RAT. Certaines fonctionnalités ont été supprimées pour rendre l’exécutable plus petit. Plusieurs mesures anti-sandbox, et d’autres astuces d’évitement et d’évasion ont été ajoutées.

Vermin constitue une backdoor, ou porte dérobée, sur mesure. Il est apparu pour la première fois au milieu de l’année 2016 et est toujours utilisé au moment de la rédaction du présent rapport. Tout comme Quasar et Sobaken, il est rédigé en .NET. Pour ralentir l’analyse, le code du programme est protégé à l’aide d’un système commercial de protection de code .NET, d’un réacteur .NET ou d’un protecteur open-source ConfuserEx.

Vermin est une backdoor complète comprenant plusieurs composants optionnels. Sa dernière version connue prend en charge 24 commandes, implémentées dans la charge utile principale, et plusieurs commandes supplémentaires implémentées via des composants optionnels, y compris l’enregistrement audio, l’enregistrement de frappe et le vol de mot de passe.

Les campagnes analysées sont basées sur l’ingénierie sociale de base, mais aussi sur l’utilisation de plusieurs astuces pour mieux amener les victimes à télécharger et exécuter le logiciel malveillant, qui était inséré comme pièces jointes à des courriels. Parmi ces astuces, mentionnons l’utilisation de la fonction de forçage de droite à gauche (ou RLO, pour right-to-left override), visant à masquer l’extension réelle des pièces jointes, les pièces jointes aux courriels déguisées en archives auto-extractibles RAR, et une combinaison d’un document Word spécialement conçu à cet effet comprenant l’exploit CVE-2017-0199.

Les trois souches de logiciels malveillants sont installées de la même manière : un dropper dépose un fichier de charge utile malveillant (Vermin, Quasar ou Sobaken) dans le dossier %APPDATA%, dans un sous-dossier au nom d’une société légitime (généralement Adobe, Intel ou Microsoft). Ensuite, il crée une tâche planifiée qui exécute la charge utile toutes les 10 minutes, pour assurer sa persistance.

Pour s’assurer que le logiciel malveillant ne fonctionne que sur des machines ciblées et évite les systèmes d’analyse automatisés et les sandboxes, les attaquants ont déployé plusieurs mesures. Le logiciel malveillant s’interrompt si aucun clavier russe ou ukrainien n’est installé, si l’adresse IP du système cible est située en dehors de ces deux pays, ou si elle est enregistrée auprès de l’un des fournisseurs d’anti logiciels malveillants ou des fournisseurs de nuages sélectionnés. Le logiciel malveillant refuse également de s’exécuter sur des ordinateurs dont le nom d’utilisateur est typique des systèmes automatisés d’analyse des logiciels malveillants. Pour déterminer s’il est exécuté dans un système d’analyse automatisé, il tente d’atteindre un nom/URL de site Web généré au hasard et vérifie si la connexion à l’URL échoue, comme on pourrait s’y attendre sur un système réel.

Ces attaquants n’ont pas reçu beaucoup de notoriété par rapport à d’autres qui ciblent des organisations très en vue en Ukraine. Cependant, ils ont prouvé qu’avec des outils d’ingénierie sociale astucieux, les attaques de cyberespionnage peuvent réussir même sans utiliser de logiciels malveillants sophistiqués. Ceci confirme la nécessité de former le personnel à la sensibilisation à la cybersécurité, en plus de disposer d’une solution de sécurité de qualité.

Les noms de détection ESET et d’autres indicateurs de compromis pour les campagnes mentionnées peuvent être trouvés dans le livre blanc complet : Quasar, Sobaken et Vermin : un regard plus approfondi sur une campagne d’espionnage en cours.

Discussion