Les développeurs du RAT RomCom mènent une nouvelle campagne d’attaque en se faisant passer pour les marques SolarWinds, KeePass et PDF Technologies.
Source: https://digitalartcollector.com/neon3000/
Les cibles de l’opération sont des victimes en Ukraine et dans certains pays anglophones, comme le Royaume-Uni.
« Compte tenu de la géographie des cibles et de la situation géopolitique actuelle, il est peu probable que les développeurs du RomCom RAT soient motivés par la cybercriminalité », indique l’équipe de renseignement sur les menaces de BlackBerry dans une nouvelle analyse.
Ces dernières découvertes interviennent une semaine après la découverte d’une campagne de spear-phishing. Cela visait des entités ukrainiennes dans le but de déployer un RAT.
L’attaquant a également été observé en train d’utiliser des variantes trojanisées de « Advanced IP Scanner » et « pdfFiller » comme droppers pour distribuer le malware.
Les derniers développements de la campagne ont impliqué la création de pages de phishing avec un nom de domaine similaire, suivie du téléchargement d’un paquet d’installation de logiciels malveillants. Enfin, des e-mails de phishing sont envoyés à la victime.
Une fois que le keepass trojanisé est téléchargé, les fichiers suivants sont trouvés.
Setup.exe: Le fichier qui lance le dropper RomCom RAT : PDB C:\Usersersource123.pdb
hlpr.dat: Il s’agit d’un dropper RAT de RomCom.
Les attaquants derrière RomCom déploient activement de nouvelles campagnes visant des victimes en Ukraine et des cibles anglophones dans le monde entier. Il est possible que les victimes britanniques soient une nouvelle cible, tandis que l’Ukraine reste le principal centre d’intérêt.
La faille OpenSSL, qui a fait couler beaucoup d’encre, a été rétrogradée de critique à haute. C’est avec ce particulier « trick or treat » qu’une vulnérabilité dans OpenSSL a semblé effrayer plus d’un administrateur système (à une époque particulièrement propice aux histoires d’horreur). Les failles sont les CVE-2022-3786 et CVE-2022-3602. Certains ont tenté de l’appeler SpookySSL et de le comparer à Heartbleed… sans grand succès.
Heureusement, le bug n’était pas si grave. Cependant, il reste d’une grande importance et peut conduire à une exécution de code arbitraire ou à un déni de service dans certaines conditions.
Le bug était un « off-by-one » dans la fonction « ossl_punycode_decode » causé par une expression de comparaison arithmétique. En fait, l’opérateur « > » a été remplacé par « >= ». Cette absence de comparaison avec les « égaux » permet d’écrire 4 octets de mémoire de pile via un domaine internationalisé (avec punycode) dans le champ e-mail d’un certificat numérique.
Un correctif existe déjà et de nombreux projets ont pu diffuser des mises à jour avant que les détails ne soient publiés. L’exploitation, cependant, n’est pas simple. Bien que ce soit un défi de faire tenir quelque chose de productif dans 4 octets, le certificat numérique doit être signé ou accepté par l’utilisateur s’il ne provient pas d’une autorité de certification connue.
Microsoft a signalé que les informations confidentielles de certains de ses clients ont été exposées par une mauvaise configuration accessible via Internet.
La mauvaise configuration du serveur a été découverte par la société de renseignement sur les menaces de sécurité SOCRadar, qui a averti la société américaine le 24 septembre 2022, laquelle a sécurisé le serveur concerné dès la notification.
« Cette mauvaise configuration a entraîné un accès potentiel non authentifié à certaines données de transactions commerciales se rapportant à des interactions entre Microsoft et des clients potentiels, telles que la planification ou la mise en œuvre et la fourniture potentielles de services Microsoft. »
Ils ont également ajouté que leur enquête interne n’a trouvé aucune indication que les comptes ou les systèmes des clients avaient été compromis et que les clients concernés avaient été informés directement.
Selon l’entreprise américaine, les informations exposées comprennent des noms, des adresses électroniques, le contenu des courriels, le nom de l’entreprise et des numéros de téléphone, ainsi que des fichiers liés aux affaires entre les clients concernés et Microsoft ou un partenaire Microsoft autorisé.
Redmond a ajouté que la fuite était due à une « mauvaise configuration involontaire sur un terminal qui n’est pas utilisé dans l’ensemble de l’écosystème Microsoft » et non à une faille de sécurité.
65 000 entités touchées dans le monde
De son côté, SOCRadar nuance encore et ajoute que, d’après son analyse, les données divulguées :
« Il s’agit notamment de documents de preuve d’exécution (PoE) et de déclaration de travaux (SoW), d’informations sur les utilisateurs, de commandes/de devis de produits, de détails de projets, de données PII (informations personnellement identifiables) et de documents susceptibles de révéler une propriété intellectuelle. »
SOCRadar
Outil en ligne pour rechercher des données ayant fait l’objet d’une fuite. Source: SOCradar
Les chercheurs ont baptisé cette fuite « BlueBleed », en référence aux informations sensibles divulguées par les magasins de données mal configurés dans leur ensemble, et ont créé un site web portant le même nom.
Vérifiez si vous êtes concerné par la fuite de Microsoft
Le portail de recherche de fuites de données de SOCRadar s’appelle BlueBleed et permet aux entreprises de savoir si leurs informations confidentielles ont également été exposées avec les données ayant fait l’objet de la fuite.
En plus de ce qui a été trouvé à l’intérieur du serveur mal configuré de Microsoft, BlueBleed permet également de rechercher des données collectées dans cinq autres buckets de stockage public.
Sur le seul serveur de Microsoft, SOCRadar affirme avoir trouvé 2,4 To de données contenant des informations sensibles de plus de 65 000 entreprises de 111 pays, plus de adresses emails, 133 000 projets et 548 000 utilisateurs exposés découverts en analysant les fichiers ayant fait l’objet de la fuite jusqu’à présent.
« Les acteurs de la menace qui ont pu accéder au référentiel peuvent utiliser ces informations de différentes manières pour extorquer, faire du chantage, créer des tactiques d’ingénierie sociale à l’aide des informations exposées ou simplement vendre les informations au plus offrant sur le dark web et les canaux Telegram », avertit SOCRadar.
Il est bien connu que les services de protocole de bureau à distance (RDP) sont largement utilisés par les cybercriminels comme une passerelle pour leurs attaques, à la fois en raison des vulnérabilités existantes dans les systèmes Windows et en raison du manque de robustesse des informations d’identification utilisées par de nombreux utilisateurs et des défenses insuffisantes utilisées dans de nombreuses infrastructures, les laissant exposées à toute attaque par force brute. Malgré cela, des centaines de milliers d’ordinateurs sont toujours exposés à des services RDP non protégés sur Internet.
Fichiers chiffrés par le Venus Ransomware. Source : BleepingComputer
Il est alarmant de constater la quantité de nouvelles associées aux ransomwares que nous recevons ces derniers mois, la plupart d’entre elles ayant réussi à cause de deux problèmes spécifiques qui se répètent dans presque toutes ces attaques. La première est la négligence et l’ignorance d’un utilisateur qui, par le biais d’une astuce d’ingénierie sociale, finit par télécharger et exécuter un fichier malveillant qui ouvre les portes aux cybercriminels. Cela se fait généralement par le biais d’un email invitant l’utilisateur à accéder à une adresse web ou à ouvrir un fichier joint, en prétendant être un service connu de l’utilisateur. L’autre problème est l’exposition des connexions RDP sur Internet sans les moyens préventifs nécessaires pour éviter les problèmes.
En ce qui concerne les attaques RDP, il existe un moyen très simple de les prévenir que de nombreux administrateurs système semblent oublier, ce qui donne lieu aux problèmes qu’ils déplorent ensuite en matière de ransomware.
En raison de la paresse technologique en matière de cybersécurité de la part des administrateurs et des entreprises, un nouveau groupe de ransomware qui a commencé ses opérations en août 2022 s’est spécialisé précisément dans le chiffrement des cibles Windows dont les services RDP sont exposés. Ce nouveau ransomware est connu sous le nom de VENUS et n’a rien à voir avec le célèbre ransomware VenusLocker écrit en .NET qui fonctionne depuis 2016.
Comment se comporte VENUS ?
Selon l’analyse publiée par BleepingComputer, dès que le malware est exécuté sur l’ordinateur, la première chose qu’il fait est de supprimer les journaux d’événements de Windows et les volumes Shadow Copy. Il désactive également la prévention de l’exécution des commandes (DEP), ce qui s’effectue par la commande suivante sur le système :
Il tente également d’arrêter plusieurs processus système liés aux services de base de données et aux applications Microsoft Office. Les processus suivants ont été détectés dans l’analyse du malware :
Une fois qu’il commence à chiffrer les fichiers sur l’ordinateur, il ajoute l’extension .venus au nom du fichier, transformant par exemple un fichier appelé « notes.doc » en « notes.doc.venus ». Dans chaque fichier chiffré, le malware ajoute au code du fichier un marqueur avec le texte « goodgamer » et un court morceau de code supplémentaire dont la fonction n’a pas encore été identifiée.
Code hexadécimal d’un fichier crypté par Venus. Source : BleepingComputer.
Le même logiciel malveillant crée également une note de rançon au format .hta dans le dossier %Temp% du système, qui est automatiquement exécutée lorsque le ransomware a fini de chiffrer les fichiers de l’ordinateur.
Note de rançon au format HTA du ransomware Venus.
La note de rançon contient une adresse TOX et une adresse électronique qui peuvent être utilisées pour contacter l’attaquant et négocier le paiement de la rançon. À la fin de la note se trouve un texte blob codé en base64 qui est probablement la clé de déchiffrement chiffrée que l’attaquant demandera afin de transmettre l’utilitaire permettant de déchiffrer à la victime après paiement.
Le ransomware VENUS est actuellement très actif et le service d’identification des ransomwares MalwareHunterTeam reçoit quotidiennement des fichiers liés à ce malware.
Nous pouvons voir un échantillon en détail dans le service VirusTotal identifié avec le hash:
un fichier exécutable Windows (.exe) d’une taille de 225.50Kb.
Exemple de fichier identifié comme le nouveau malware Venus dans VirusTotal.
Le groupe qui exploite ce malware semble cibler les services de bureau à distance exposés publiquement, y compris ceux qui fonctionnent sur des ports TCP non standard. Une croyance largement répandue parmi les administrateurs ayant peu d’expérience en matière de cybersécurité est que s’ils utilisent un port autre que le port RDP standard (port 3389), ils seront à l’abri des scans ou des attaques visant ce service, ce qui n’est pas vrai. Les services d’analyse de périphériques tels que Shodan ont identifié près d’un demi-million d’ordinateurs avec ce service exposé et accessible depuis Internet (y compris les honeypots).
Ordinateurs identifiés par Shodan avec RDP exposé.
Il est essentiel de protéger ces services derrière un pare-feu et de ne pas les exposer publiquement sur l’internet, et ils ne devraient être accessibles que par un VPN. Il est également important de suivre et d’appliquer les mises à jour des logiciels et des systèmes d’exploitation et les correctifs de sécurité existants afin d’éviter l’exploitation de vulnérabilités connues telles que « Bluekeep » (CVE-2019-0708) ainsi que de maintenir une politique stricte de mots de passe forts (longueur minimale recommandée de 12 caractères, utilisation de majuscules, de minuscules, de chiffres et de symboles).
Zimbra a publié des mises à jour de sécurité pour corriger une vulnérabilité critique de type « zero-day » qui est activement exploitée dans sa suite de collaboration d’entreprise Zimbra Collaboration (ZCS).
La faille de sécurité, à laquelle a été attribué l’identifiant CVE-2022-41352, est une vulnérabilité de type 0-day qui affecte un composant de la suite Zimbra appelé Amavis (un scanner de logiciels malveillants utilisé dans les serveurs de messagerie Unix), et plus particulièrement l’utilitaire cpio qu’il utilise pour extraire les fichiers. Le score CVSS, qui indique la gravité de cette faille de sécurité, est de 9,8 sur 10.
L’exploitation de cette vulnérabilité pourrait permettre le téléchargement de fichiers arbitraires en raison de l’incapacité de cpio à gérer de manière sécurisée les fichiers non fiables et conduire à un accès inapproprié à tout autre compte utilisateur.
En exploitant cette vulnérabilité, un attaquant peut insérer un shell dans la racine du site web et obtenir l’exécution de code à distance. Pour l’exploiter, il suffit d’envoyer un courriel avec une pièce jointe .TAR, .CPIO ou .RPM spécialement conçue. Lorsqu’Amavis inspecte les pièces jointes, il utilise cpio pour extraire le fichier, ce qui déclenche l’exploit.
Ce problème semble provenir de la vulnérabilité sous-jacente CVE-2015-1197 qui remonte à 2015 et avait été corrigée. Cependant, dans les distributions ultérieures, le patch a été annulé, selon la déclaration de Flashpoint. Pour être exploitée, cette vulnérabilité nécessite une application secondaire qui utilise cpio pour l’extraction de fichiers.
D’autre part, l’entreprise de sécurité Kaspersky a signalé que des groupes inconnus ont activement exploité cette vulnérabilité critique. Les attaques se sont déroulées en deux vagues ; la première, début septembre, a visé principalement des entités gouvernementales en Asie. La deuxième vague d’attaques a été menée fin septembre, avec une portée beaucoup plus large, visant tous les serveurs vulnérables (gouvernementaux, télécommunications, informatiques, etc.) situés dans les pays d’Asie centrale.
Le 7 octobre, une preuve de concept (PoC) pour cette vulnérabilité a été ajoutée à Metasploit, ouvrant la voie à une exploitation massive par des attaquants même de bas niveau.
À cet égard, la société de réponse aux incidents Volexity a identifié environ 1 600 serveurs Zimbra susceptibles d’être compromis à cause de cette vulnérabilité.
Les correctifs de sécurité sont disponibles dans les versions suivantes :
Zimbra 9.0.0.0 Patch 27
Zimbra 8.8.15 Patch 34
En plus de l’application des correctifs ci-dessus, les administrateurs et les propriétaires de serveurs Zimbra sont encouragés à vérifier les indicateurs de compromission (IOC). Voici les emplacements connus des webshells déployés par des acteurs malveillants qui exploitent actuellement la vulnérabilité CVE-2022-41352 :
Il est important de considérer que la suppression du fichier .JSP n’est pas suffisante. L’attaquant aurait pu accéder aux fichiers de configuration, aux mots de passe utilisés dans les comptes d’administration et de service, aux informations confidentielles, déployer et cacher d’autres portes dérobées, etc.
