learn.hack.repeat

Catégorie : Malware Page 5 of 6

Microsoft désactive l’installateur MSIX pour éviter les abus

de

On 10/02/2022

dans CVE, Malware, Sécurité

Microsoft a annoncé la semaine dernière qu’elle avait temporairement désactivé le gestionnaire de protocole ms-appinstaler, qui était utilisé pour diffuser des logiciels malveillants tels que Emotet, TrickBot et Bazaloader.

MSIX est un format de paquet d’installation universel, qui permet aux développeurs de distribuer leurs applications pour le système d’exploitation Windows ou d’autres plateformes. Le protocole ms-appinstaler, en particulier, est conçu pour permettre l’installation facile d’applications en cliquant sur un lien dans une page web.

L’année dernière, une vulnérabilité, CVE-2021-43890, a été découverte qui permettait d’usurper les installateurs d’applications légitimes tout en installant une application malveillante.

Alors que Microsoft a corrigé cette vulnérabilité en décembre dernier, la société a maintenant décidé de désactiver complètement le protocole ms-appinstaler pendant qu’elle travaille sur une solution complète et sécurisée au problème.

Microsoft reconnaît que cette fonctionnalité est essentielle dans de nombreuses entreprises et organisations, mais prendra le temps nécessaire avant de la réactiver. Cependant, la possibilité d’activer et de contrôler ce protocole par le biais de politiques de groupe est envisagée.

Plus d’information:
https://thehackernews.com/2022/02/microsoft-temporarily-disables-msix-app.html
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890

Une application 2FA contenant un cheval de Troie bancaire infecte 10000 victimes via Google Play

de

On 01/02/2022

dans Malware, Sécurité

Après avoir été disponible pendant plus de deux semaines, une application malveillante d’authentification à deux facteurs (2FA) a été retirée de Google Play, mais pas avant d’avoir été téléchargée plus de 10 000 fois.

L’application, qui est entièrement fonctionnelle en tant qu’authentificateur 2FA, est chargée du malware Vultur Stealer qui cible les données financières de l’utilisateur.

Les chercheurs de Pradeo recommandent aux utilisateurs qui ont installé l’application malveillante, nommée « 2FA Authenticator », de la supprimer immédiatement de leurs appareils, car ils sont toujours en danger, tant pour le vol de données bancaires que pour d’autres attaques possibles grâce aux autorisations étendues de l’application.

Les cybercriminels ont développé une application fonctionnelle et convaincante, en utilisant le code de l’application open source Aegis, mais modifiée par des modules complémentaires malveillants. Cela l’a aidé à se propager dans Google Play sans être détecté, selon un rapport de Pradeo publié jeudi.

La demande d’autorisations élevées permet aux attaquants d’exécuter un certain nombre de fonctions supplémentaires, telles que l’accès à la localisation de l’utilisateur, la possibilité d’effectuer des attaques géociblées, la désactivation du verrouillage de l’écran ou du mot de passe, le téléchargement et l’installation d’apps tierces, etc.

L’équipe de Pradeo rapporte que, bien que leurs chercheurs aient contacté Google pour faciliter leurs découvertes, la société a mis près de 15 jours pour désactiver l’application.

Plus d’information:
https://threatpost.com/2fa-app-banking-trojan-google-play/178077/
https://blog.pradeo.com/vultur-malware-dropper-google-play

StellarParticle, une campagne associée à COZY BEAR

de

On 31/01/2022

dans Malware, Sécurité

CrowdStrike a publié un article sur la campagne StellarParticle détaillant les principales observations à son sujet.

Cette campagne est liée à l’attaque de la chaîne d’approvisionnement via SolarWinds survenue en décembre 2020, que les gouvernements américain et britannique ont attribuée au groupe cybercriminel COZY BEAR ou APT29.

Dans ce cas, StellarParticle est le nom par lequel l’équipe de CrowdStrike a nommé la nouvelle campagne, caractérisée par l’utilisation de nouvelles techniques décrites dans le rapport, ou l’utilisation dans ces scénarios particuliers de techniques existantes. Parmi les techniques mises en avant, on trouve le fameux « credential hopping », caractérisé par l’utilisation d’informations d’identification différentes à chaque étape afin d’obtenir un déplacement latéral dans le réseau. Elle minimise les chances de détection de l’attaquant et, du point de vue de l’analyste, implique d’attribuer une plus grande sophistication à l’attaquant, si le reste des techniques accompagne cette perception, comme c’est le cas.

En particulier, l’un des points intéressants du rapport est la manière dont les attaquants parviennent à s’authentifier sur les comptes O365 des victimes, même si l’authentification multifactorielle (MFA) est activée pour ces comptes. Même avec des informations d’identification d’administrateur, ils devraient contourner le MFA. Dans ce cas, les attaquants s’appuient sur le vol de cookies du navigateur Chrome. Le compte administrateur leur permet d’accéder aux ordinateurs des utilisateurs et de voler les données des sessions. Les cookies sont décryptés et si les données de connexion sont récentes, ils pourraient utiliser les cookies pour contourner le MFA. Un certain nombre de conditions sont le signe que l’attaque est exécutée avec la connaissance du système cible.

Ce type d’analyse permet également de déterminer les points d’amélioration possibles, comme l’importance d’établir différents rôles administratifs, et comment, bien qu’une solution particulière puisse offrir cette possibilité (O365), combinée à d’autres solutions, elle peut faire en sorte que cela ne soit pas possible.

L’article est également une lecture intéressante pour ceux qui sont curieux de l’analyse forensique. Les ShellBags, une fonctionnalité du système Windows dont le but est de mémoriser les préférences de l’utilisateur lorsqu’il navigue dans différents répertoires, servent dans ce cas à permettre aux analystes de visualiser le comportement du malware lorsqu’il tente d’obtenir les données de Chrome. Une autre fonctionnalité native de Windows Server 2012 et des versions ultérieures est l’UAL (User Access Login), qui stocke des informations sur les différentes connexions de l’utilisateur, et permet aux analystes d’obtenir des preuves sur les traces de l’activité des attaquants sur le système compromis. D’après les journaux analysés, certaines preuves permettent de dater les accès des attaquants deux ans avant leur découverte.

Une fois que les attaquants ont obtenu l’accès, surtout si l’attaque se prolonge dans le temps, ils peuvent laisser des logiciels malveillants derrière eux pour des opérations ou des accès futurs. Dans ce cas, deux familles sont liées à l’activité de StellarParticle : TrailBlazer et GoldMax.

La première, TailBlazer, comme les autres familles, se caractérise par une fonctionnalité modulaire, parfaite pour la rendre viable dans de multiples scénarios. Il est intéressant de noter qu’il masque les commandes C2 comme des requêtes HTTP provenant des notifications de Google. L’obscurcissement du trafic C2 n’est pas nouveau, mais il est intéressant de voir comment l’attaque est à nouveau adaptée à ce stade à l’environnement, où l’on suppose ou l’on s’attend à ce que des comptes Chrome soient présents, et où le trafic Google est courant, précisément en raison de l’utilisation de Chrome.

GoldMax est utilisé dans sa variante Linux. Il est apparu pour la première fois dans la campagne qui a conduit à l’attaque de la chaîne d’approvisionnement de SolarWinds, et pour les systèmes Windows. L’objectif de cette variante de StellarParticle ne semble être autre que de permettre la persistance sur des plateformes autres que Windows. Ce n’est qu’un autre exemple d’adaptation opportune de logiciels malveillants qui ont été déployés dès la mi-2019.

Les chercheurs soulignent que dans la plupart des cas, l’enquête commence à partir d’un environnement Office 365 compromis (O635) et que, de fait, les attaquants ont une connaissance approfondie des systèmes d’exploitation Windows et Linux, de Microsoft Azure, d’Office 365 et d’Active Directory. Il ne pouvait en être autrement, conformément aux conclusions longuement décrites dans le rapport publié le 27 janvier sur le blog de CrowdStrike, où je vous renvoie pour une lecture complète.

Plus d’information:
https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/

DeadBolt, un nouveau ransomware contre les NAS de QNAP

de

On 31/01/2022

dans Malware, Ransomware, Sécurité

QNAP a publié une déclaration invitant les utilisateurs de NAS à prendre des mesures immédiates pour éviter que leurs appareils ne soient infectés par un nouveau ransomware.

Un nouveau logiciel malveillant appelé DeadBolt a été détecté et cible les appareils NAS du fournisseur taïwanais QNAP. Le ransomware crypte les données des utilisateurs et exige une rançon de 0,03 bitcoins (environ 1 070 CHF) pour les récupérer.

Message affiché sur un appareil infecté par DeadBolt.

Le ransomware exploiterait une vulnérabilité de type 0-day inconnue du fabricant. Les développeurs de ce malware communiquent dans le message de blocage affiché après l’infection de l’appareil, qu’ils sont prêts à vendre à QNAP les détails spécifiques de cette vulnérabilité pour 5 Bitcoins (environ 171 000 euros). Ils sont également prêts à donner la clé maîtresse qui permettrait de décrypter les données de tous les appareils concernés pour 50 bitcoins.

Message des développeurs de DeadBolt à QNAP.

QNAP Systems, Inc. a émis une alerte de sécurité demandant à tous les utilisateurs de ses périphériques NAS de suivre une série d’instructions pour activer les protections de sécurité du périphérique et mettre immédiatement à jour le QTS avec la dernière version disponible.

Si le NAS est exposé à Internet et que le service de gestion du système est directement accessible depuis une adresse IP externe, les paramètres suivants sont recommandés :

  • Désactivez la fonction de transfert de port du routeur.
    Dans l’interface d’administration du routeur, dans les paramètres Serveur virtuel, NAT ou Transfert de port, désactivez l’option de transfert de port du port de service de gestion du NAS (port 8080 et 443 par défaut).
  • Désactiver la fonction de transfert de port UPnP du NAS.
    Depuis myQNAPcloud dans le menu QTS, dans la section « Auto Router Configuration », désactivez la sélection « Enable UPnP Port forwarding ».
Configuration de myQNAPcloud.

Ces mesures doivent être prises à titre préventif pour éviter l’infection par DeadBolt. Si le NAS est déjà affecté, la mise à niveau vers la dernière version ou la réinitialisation des paramètres d’usine n’éliminera pas le ransomware, comme le signalent de nombreux utilisateurs sur les forums d’assistance QNAS.

Il est recommandé d’appliquer les mises à jour et les paramètres recommandés par le fabricant pour éviter l’infection par des logiciels malveillants et la perte consécutive du contenu stocké sur le NAS.

Plus d’information:
https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-stop-your-nas-from-exposing-to-the-internet-and-update-qts-to-the-latest-available-version-fight-against-ransomware-together

iLOBleed : Rootkit affectant les serveurs HP

de

On 03/01/2022

dans Malware, Sécurité

Des chercheurs ont détecté un type de rootkit affectant les systèmes de gestion de serveurs intégrés de Hewlett-Packard (HP), utilisés dans les serveurs des environnements d’entreprise.

L’analyse d’un rootkit qui cible la technologie de gestion de serveurs Integrated Lights-Out (iLO) de Hewlett-Packard Enterprise pour mener des attaques qui manipulent les modules de micrologiciels et peuvent effacer complètement les données des systèmes infectés a récemment été publiée.

Cette découverte, qui constitue le premier cas de logiciel malveillant réel dans un micrologiciel iLO, a été documentée par la société iranienne de cybersécurité Amnpardaz.

« De nombreux éléments de iLO en font une cible idéale pour les logiciels malveillants et les groupes APT : des privilèges extrêmement élevés (au-dessus de tout niveau d’accès dans le système d’exploitation), un accès de très bas niveau au matériel, il est pratiquement caché des administrateurs et des outils de sécurité, l’absence d’outils d’inspection et d’analyse, la persistance qu’il procure et, surtout, le fait qu’il soit toujours en cours d’exécution.« 

Outre la gestion des serveurs, le fait que les modules iLO aient accès à l’ensemble du matériel, des micrologiciels, des logiciels et du système d’exploitation installés en fait un candidat idéal pour attaquer les organisations qui utilisent des serveurs HP, tout en permettant aux logiciels malveillants de persister après les redémarrages et de survivre aux réinstallations du système d’exploitation.

Baptisé iLOBleed, le rootkit a été utilisé dans des attaques depuis 2020 dans le but de manipuler un certain nombre de modules de firmware d’origine afin d’entraver furtivement les mises à jour du firmware. Bien que le groupe responsable du malware n’ait pas été identifié, les chercheurs soupçonnent qu’il s’agit de l’œuvre d’un APT.

Plus d’information:
https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/
https://thehackernews.com/2021/12/new-ilobleed-rootkit-targeting-hp.html

Page 5 of 6

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén