BlindingCan, DreamJob : un malware qui se cache dans des fichiers d'embauche ! (le job de vos rêves...)

Depuis une plate-forme sociale (type LinkedIn) ou par courriel, les offres d'embauche perdureront plus que jamais pendant ces temps de (re)confinement incertain qui seront, probablement, à venir, dans le monde entier. Une manne pour certains concepteurs de virus ou malwares qui peuvent adapter leurs charges malveillantes en fonction du contexte socio-économique. C'est le cas de BlindingCan, alertent le CISA (Cybersecurity and Infrastructure Security Agency) et le FBI (Federal Bureau of Investigation), un malware de type RAT (Remote Access Tool et non Trojan) qui serait, en réalité, le fruit d'un groupe Nord-Coréen déjà bien connu : Lazarus...

 

"Le FBI est convaincu que les acteurs de HIDDEN COBRA utilisent des variantes de logiciels malveillants en conjonction avec des serveurs proxy pour maintenir une présence sur les réseaux victimes et poursuivre l'exploitation du réseau. Un groupe de menaces ayant un lien avec la Corée du Nord a ciblé des entrepreneurs du gouvernement au début de cette année pour recueillir des renseignements sur les technologies militaires et énergétiques clés. Les documents malveillants utilisés dans cette campagne ont utilisé des offres d'emploi de grands entrepreneurs de la défense comme leurres et ont installé un implant de collecte de données sur le système d'une victime", alerte un rapport sécuritaire du CISA, au 19 Août 2020, pointant ainsi une réminiscence du groupuscule Lazarus, également connu sous le nom de Hidden Cobra.

Dans un rapport détaillé de l'équipe sécuritaire Clear Sky, la campagne d'attaque dans laquelle le malware s'inscrit se nomme "Dream Job" ; et pour cause : l'infection prend son sein depuis une annonce ou proposition d'embauche diffusée par mail ou sur les réseaux sociaux (depuis un profil LinkedIn, par exemple).

 

Le candidat intéressé (après une correspondance soutenue pour entretenir une fausse confiance avec des messages, évoquant "le job de vos rêves que vous voulez" : WhatsApp, LinkedIn, mail ou SMS) cliquera, initialement, sur un fichier PDF mais le malware peut être diffusé vers deux autres types d'extensions (DOC, DOTM : cette dernière extension permettant un accès malicieux de type "Command and Control").

 

Une fois les fichiers téléchargés, ouverts par la victime, deux fichiers sont, à leur tour, déployés : un fichier LNK et un DLL. C'est à ce moment que le malware assimilé à l'outil RAT (qui n'est pas forcément, de manière général, malveillant : il s'agit d'un outil distant pouvant être utilisé par une personne compétente, pour un besoin spécifique et légitime) entre en jeu s'installant dans le système : "Toutes les DLL utilisées peuvent détecter si elles sont sur le bon réseau au moment de l'activation, et ne s'activent pas si le fichier de leurre est ouvert sur un autre réseau ou sur un appareil mobile [...] Nous avons identifié une pléthore de systèmes d'obfuscation et de dissimulation dans ce fichier, conçus pour éviter les machines virtuelles ou divers services Sandbox. Ces systèmes permettent aux attaquants de rester «sous le radar» des mécanismes de sécurité et de pénétrer dans l'organisation, par exemple VMprotect".

Ce détournement de RAT permet d'activer, au besoin, plusieurs fonctionnalités : la mise en sommeil (partiellement ou totalement pour se dissimuler dans le système, selon certains conditions), traquer les éventuelles tentatives de débugs (pour éviter sa suppression-système) ainsi que des compteurs pour visualiser le temps nécessaires par utilisation. Il a été relevé, par ailleurs, des recherches multiples dans les systèmes infectés et relatives à des "documents traitant de questions sécuritaires ou financières".

Tout comme les cellules du Gouvernement de cyber-sécurité américaines, les chercheurs sécuritaires soulignent de nombreuses similitudes avec Lazarus : "avec le code de Virus Total, nous avons identifié au moins 22 résultats de fonction DIFF qui attestent de segments identiques. La plupart du code est identique en dehors des différents systèmes d'obscurcissement. La principale opérationnalité de RAT est de déployer des outils d'attaque supplémentaires, alors que ceux-ci sont en partie open source et en partie des logiciels de base, pour permettre une activité supplémentaire sur la machine infectée [..] La communication avec le C2 (ndlr : command and control) est effectuée à l'aide de protocoles HTTP ou HTTPS (ports 80 ou 443) au lieu de requêtes DNS", précisé Clear Sky.

En 2019 par exemple, le groupe Nord-Coréen instillait sa charge malveillante depuis une archive RAR nommée "SysAid-Documentation" qui recelait le déclencheur principal via le fichier "Thumbs.db.Ink".

Étant donné que le vecteur d'attaque s'amorce au détour d'une annonce d'embauche d'un profil professionnel frauduleux (mais calé sur un profil existant) à laquelle la future victime répondra, plusieurs recommandations sont faites à l'attention des candidat(e)s ou des administrateurs-systèmes :

 

 

  • Ne pas pouvoir télécharger de fichiers depuis les comptes de messagerie privés ;
  • Éviter de télécharger un logiciel PDF depuis un éditeur non (re)connu. En milieu professionnel : l'administrateur doit prohiber l'installation depuis un profil-utilisateur isolé pour éviter une dérive insécuritaire éventuelle ;
  • Une fois les téléchargements de fichiers effectuées, les faire automatiquement basculer dans une zone intermédiaire ou contrôlée, afin d'éviter les contaminations éventuelles avec le système, depuis un terminal qui serait ainsi infecté ;
  • Ne pas mélanger professionnel et personnel, en évitant de se connecter à une messagerie personnelle depuis un terminal (relié en réseau) professionnel ;
  • Surveiller le trafic externe (serveurs) avec Office. Par défaut, ne pas pouvoir télécharger de fichiers depuis ces serveurs ;
  • Ne pas permettre de téléchargement de fichiers ISO ;
  • Rendre les macros inactives depuis n'importe quel document ;
  • Par défaut, rendre inactive les fichiers LNK ;
  • Veille avec EDR (Endpoint Detection and Response), pour regardez les activités ou informations de transit - téléchargements éventuels - avec les fichiers LNK et DLL. Des dates (et heures) de modifications sur certains fichiers (dont ceux de type DLL) permettront de savoir si une modification (frauduleuse) a pu être effectuée ;
  • Veille avec des "outils simulant un environnement virtuel" pour pouvoir détecter les malwares avant qu'ils puissent activer, comme ici avec DreamJob / BlindingCan, pouvoir hiberner au besoin et être, alors, indétectable.

 

Composé de 5 grandes étapes (stage), BlindingCan, vise principalement des entreprises gouvernementales ou ayant attrait - contractuellement - avec un Gouvernement (l'aéronautique, par exemple) : Boeing, BAE ou encore Lockheed Martin auraient été visés par Lazarus. Les hashs révèlent une source propre à NirSoft (NirSofer, un éditeur Israélien). Une sélection a été communiqué dans le rapport : responder (OpenSource), qui permet une "authentification structurée des serveurs MSSQL19", Wake-On-Lan, qui commande à distance l'initialisation ou l'extinction-système d'un terminal donné et ChromePass, qui permet une ex-filtration d'identifiants depuis le navigateur de Google. Selon les conclusions des chercheurs, de tels outils atteste de la volonté, pour les cyber-attaquants, de mettre toute les chances de leur côté pour finaliser leurs actions, dans le cas où les étapes antérieures du malware auraient échoué... A suivre !

 

 

Source : Clear Sky - Août 2020 - DreamJob : un malware sous les traits d'une offre d'emploi (similarités nombreuses avec modus operandi du groupe Lazarus).