Révélations sur les attaques des Copykittens

Les chercheurs en sécurité ont découvert une nouvelle campagne massive d'espionnage cybernétique qui vise principalement des personnes travaillant dans des organisations gouvernementales, de défense et académiques dans divers pays.

La campagne est menée par un groupe de menace lié à l'Iran, dont les activités, les méthodes d'attaque et les cibles ont été publiés dans un rapport conjoint et détaillé publié par les chercheurs de Trend Micro et la société israélienne ClearSky. Doublé par les chercheurs CopyKittens (aka Rocket Kittens), le groupe d'espionnage cybernétique est actif depuis au moins 2013 et a ciblé des organisations et des individus, y compris des diplomates et des chercheurs, en Israël, en Arabie Saoudite, en Turquie, aux États-Unis, en Jordanie et en Allemagne.

Les organisations ciblées comprennent des institutions gouvernementales comme le ministère des Affaires étrangères, les entreprises de défense, les grandes entreprises informatiques, les établissements universitaires, les sous-traitants du ministère de la Défense et les autorités municipales, ainsi que les employés des Nations Unies. Le dernier rapport [PDF], baptisé "Operation Wilted Tulip", détaille une campagne d'espionnage active menée par les pirates CopyKittens, une vaste gamme d'outils et de tactiques qu'ils ont utilisés, son infrastructure de commande et de contrôle et le mode de fonctionnement du groupe. Comment CopyKittens infecte ses objectifs Le groupe a utilisé différentes tactiques pour infiltrer ses cibles, ce qui inclut les attaques des arrosages - où le code JavaScript est inséré dans des sites Web compromis pour distribuer des exploits malveillants. Les médias et les organisations dont les sites Web ont été maltraités en tant qu'investisseurs ont été publiés par The Jerusalem Post, dont même l'Office fédéral allemand de la sécurité de l'information (BSI) a publié une alerte, les nouvelles de Maariv et l'Organisation des anciens combattants handicapés de l'IDF.

Outre les attaques par trous d'eau, CopyKittens a également utilisé d'autres méthodes pour fournir des logiciels malveillants, y compris: Liens envoyés par courrier électronique vers des sites malveillants contrôlés par des attaquants. Les documents du bureau armé exploitant les défauts récemment découverts (CVE-2017-0199). L'exploitation des serveurs Web à l'aide du scanner de vulnérabilité et des outils SQLi comme Havij, sqlmap et Acunetix. Les fausses entités des médias sociaux créent de la confiance avec des cibles et peuvent potentiellement diffuser des liens malveillants. "Le groupe utilise une combinaison de ces méthodes pour cibler de manière persistante la même victime sur plusieurs plates-formes jusqu'à ce qu'elles réussissent à établir une première tête de tête d'infection - avant de pivoter vers des cibles de valeur supérieure sur le réseau", écrit Trend Micro dans une publication de blog. Afin d'infecter ses cibles, CopyKittens utilise ses propres outils de logiciels malveillants personnalisés en combinaison avec des outils commerciaux existants, comme le logiciel Red Team Cobalt Strike, Metasploit, l'agent post-exploitation Empire, la dévidoir TDTESS et l'outil de dépréciation Mimikatz.

Baptisé Matryoshka, le trojan d'accès à distance est le logiciel malveillant développé par le groupe qui utilise le DNS pour la communication de commande et de contrôle (C & C) et a la possibilité de voler des mots de passe, capturer des captures d'écran, enregistrer des frappes de touches, collecter et télécharger des fichiers et donner aux attaquants Meterpreter shell accès. "Matryoshka est propagé à travers le phishing de la lance avec un document attaché à lui. Le document a soit une macro malveillante que la victime est invitée à activer ou un exécutable incorporé que la victime est invitée à ouvrir", dit Clear Sky dans une publication sur le blog. La version initiale du logiciel malveillant a été analysée en 2015 et vu dans la nature de juillet 2016 à janvier 2017, bien que le groupe ait également développé et utilisé Matryoshka version 2. Les utilisateurs sont recommandés pour permettre l'authentification à deux facteurs afin de protéger leurs comptes de messagerie Web, ce qui est un trésor d'informations pour les pirates informatiques, et une "tête de tête initiale extrêmement forte" pour pivoter vers d'autres cibles.