• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

“Il est maintenant revenu vindicatif” : retour sur le pic d’activité d’Emotet, depuis le 2 Novembre 2022 !

Début Novembre 2022, Cryptolaemus, qui poursuit une veille continue, entre-autre, du cheval de Troie, alertait sur un pic d’activité notable d’Emotet : en parallèle à une cyber-attaque usurpant le site de la Chambre des Notaires de Paris, une cyber-attaque (sous Epoch4 + Epoch5) du malware était déployé depuis des macro-commandes sous Excel, depuis des PJs distribuées dans des mails, via un .ZIP. L’équipe sécuritaire BlackBerry revient plus en détail sur cet épisode qui a mouvementé la fin d’année 2022.

 

Activité d’Emotet (URLs malicieuses), du 12 Juillet 2022 au 23 Janvier 2023
(Source : URLHaus)

 

Emotet a continuellement envoyé des spams. des e-mails dans des campagnes conçues pour infecter les utilisateurs via des attaques de phishing. Une fois qu’il s’exécute avec succès sur un terminal, Emotet supprime d’autres programmes malveillants tels que Qakbot, Cobalt Strike ou, dans certains cas, même le célèbre rançongiciel Ryuk. Cependant, à partir de juillet 2022, le Malware-as-a-Service (MaaS) fortement distribué est apparemment devenu sombre et ne semblait plus exécuter ces campagnes de spam. Pendant les quatre mois suivants, Emotet est resté silencieux. Puis, le 2 novembre, le groupe Cryptolaemus a découvert que ses botnets, en particulier ceux connus sous le nom d’Epoch4 et Epoch5, avaient recommencé à envoyer des spams. Ces e-mails de phishing utilisaient diverses méthodes pour inciter les victimes à les ouvrir d’abord, puis à télécharger et à exécuter des fichiers .xls, avec des macros utilisées pour télécharger le dropper Emotet“, selon le billet technique dédié, le 20 Janvier 2023.

 

XxX Emotet : évolutif et complexe XxX

 

Ce dernier pic d’activité a permis de démontrer une adaptation du code d’Emotet : celui-ci, en effet, a pu faire migrer ses variations 32-bits en 64-bits avec des moyens de diffusion de la viralité (comme les boutons macro-commandes dans les fichiers .XLS, évoqués ci-avant) de plus en plus abouti. Une fois que l’utilisateur clique sur ce bouton, un accès vers l’Internet s’opère pour télécharger et exécuter Emotet sur le système de la victime. Décomposition des étapes (condensé) d’intrusion virale :

 

  • Téléchargement dans dossier (randomisé) %UserProfile%\AppData\Local (fichier .DLL) ;

 

  • Fichier .DLL randomisé, également (nommage) ;

 

  • Exécution d’Emotet : regsvr32.exe ;

 

  • Emotet est actif en arrière-plan (serveur command-and-serveur pour les malwares supplémentaires à instiller, à distance + persistance de la cyber-attaque via la création d’une clé de registre en local).

 

 

XxX Modules XxX

Officiellement identifié depuis 2014, Emotet s’adapte en exploitant plusieurs schémas de cyber-attaque (veille de processus, interception d’adresse-mail Microsoft Outlook) tout en faisant évoluer ses différents modules :

 

SMB (Server Message Block)

 

Il lui permet d’effectuer des mouvements latéraux avec des privilèges similaires que le compte légitime ainsi dupliqué, via le token ou le jeton d’identification. Par ricochet, le processus bénéficie de ces privilèges-compte et Emotet peut ainsi appeler une fonction (ImpersonateLoggedOnUser) pour pratiquer différentes actions.

 

Un recensement assez massif s’effectue, à partir de ce point : via les WinAPIs dédiées (WnetOpenEnumW + WnetEnumResourceW), un listing est constitué de l’ensemble des serveurs distants “potentiels” et sera pointé avec deux autres listes ou tables (en dur : une table de nom d’utilisateurs “communs” + une table de mots de passe “communs“, ce qui repose la question sécuritaire des termes ou mots de passe peu complexes…) pour effectuer du brute force sur l’IPC$ avec la WinAPI WNetAddConnection2W pour, éventuellement, trouver une correspondance ; deux cas :

 

  • En cas de non-correspondance, ce sera au tour du SMB de prendre le relais en appelant un serveur via la WinAPI NetUserEnum ;

 

  • En cas de correspondance, une connexion sera tenté vers ADMIN$ et C$, avant de pratiquer une copie d’Emotet (loader) pour l’initier en tant que service (regsvr32.exe) et, de là, un mouvement latéral se produira.

 

 

Module pour la navigation Web (Chrome)

 

En plus de l’épandeur SMB, un autre module récemment ajouté est utilisé pour cibler le navigateur Google Chrome d’une victime dans l’espoir de voler les informations de carte de crédit stockées. Alors qu’Emotet a utilisé d’autres modules pour extraire des informations financières dans le passé (tels que le module WebBrowser PassView de NirSoft), Proofpoint a trouvé les chaînes décryptées suivantes au début de juin 2022 qui semblent s’intéresser spécifiquement à Chrome“, complètent les chercheurs.

 

 

XxX Les portes du paradis… démoniaques XxX

 

Emotet exploiterait une ancienne technique d’injection pour instiller les modules évoqués ci-avant : Heaven’s Gate (les portes du Paradis), une cyber-attaque permettant de contourner “les hooks d’API Windows sur Windows64” en instillant des processus 32-bits pour les confondre littéralement dans des processus 64-bits.

En cas d’exploitation depuis l’option de retro-compatibilité (proposée par les systèmes Windows pour faire fonctionner une application 32-bits sous OS 64-bits, par exemple), un dépassement de limite peut s’opérer au-delà des instructions, avec une incohérence au niveau de ntdll.dll (normalement chargé pour les deux versionnages). “Heaven’s Gate en profite en exécutant des instructions x64 qui seront complètement manquées par toute application attendant des instructions x86“.

Une fois ces portes du Paradis passées, la technique du process hollowing (creusement de processus) achèvera l’ensemble en suspendant le processus originel ciblé (légitime) pour mieux re-mapper le processus malicieux. Ce processus vérolé servira de réceptacle pour accueillir (modules) et exécuter du code. Celui-ci serait fonctionnel sous Windows uniquement, selon les chercheurs.

 

XxX Recyclage d’autres cyber-attaques ou relations étroites insécuritaires observées XxX

 

IcedID (Cheval de Troie) ou BokBot

 

Le dropper d’Emotet serait exploité pour télécharger, notamment, un autre Cheval de Troie : nommé IcedID, celui-ci est rapatrié depuis une URL (hxxps[:]//bayernbadabum[.]com/botpack[.]dat ) issue d’un fichier binaire ; lui-même issu d’un programme d’installation téléchargé à distance, sur le système de la victime.

IcedID est un cheval de Troie modulaire bien connu pour voler des informations financières. Tout en établissant également la persistance grâce à l’évidement des processus, il est en lui-même tout à fait capable de supprimer des logiciels malveillants supplémentaires. IcedID surveille et enregistre l’activité du navigateur Internet afin de voler des informations sensibles telles que les informations de connexion pour les sessions bancaires en ligne. Dans un échantillon récemment trouvé d’IcedID abandonné par de nouvelles variantes d’Emotet, un chemin pdb légitime peut même être vu dans les chaînes du fichier. Cela peut indiquer à quel point cette variante est «fraîche», ou peut-être même encore en développement actif“, est-il précisé par l’équipe BlackBerry.

 

Bumblebee

Derrière ce nom aux effluves enfantines, réside un autre dropper redoutable : initialement observé dans les rangs du cyber-groupe Conti, il a été, également, observé en tant que dropper dans des variations d’Emotet.

Il aura pour tâche essentielle de télécharger un script (PowerShell) qui permettra, depuis un accès distant, de télécharger (URL dédiée) et d’exécuter la .DLL malicieuse renfermant Bumblebee, via rundll32.exe.

 

 

XxX Conseils, recommandations XxX

 

En premier lieu, il faut être vigilant dès l’ouverture d’un mail suspect, douteux ou inconnu, en particulier avec les URLs qu’il pourrait renfermer (lire avant de cliquer !) ; identiquement, il faut redoubler de vigilance pour les macro-commandes sous tableur (Excel, par exemple) : comme l’indique leur nom, une fois le clic opéré, elles vont exécuter des commandes et, hormis celles conçus en interne pour automatiser des impressions ou des calculs de congés payés en entreprise, mieux vaut relire deux fois le bouton (voire la mise en forme) et le document, avant de cliquer machinalement. Enfin, il est conseillé de pratiquer une veille (administrateur) sur les comptes pour lesquels le privilège ne coïnciderait pas avec les accès-service… A veiller !

 

 

 

Source : Blog BlackBerry – 20 Janvier 2023 – Emotet : actualisation de la méthodologie + retour sur pic d’activité de Novembre 2022.

100% J'apprécieVS
0% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2023 - v1.17.0