Les attaques du groupe Andariel : DTrack et Maui

Le groupe Andariel attaque les entreprises avec divers outils malveillants.

Nos experts ont étudié l’activité d’Andariel, qui pourrait être un sous-groupe de Lazarus APT. Les cybercriminels se servent du programme malveillant DTrack et du ransomware Maui pour attaquer les entreprises. Comme c’est généralement le cas avec Lazarus, le groupe cherche avant tout à gagner de l’argent, cette fois grâce à des demandes de rançon.

Les cibles du groupe Andariel

Nos experts en ont conclu qu’au lieu de se concentrer sur un domaine en particulier, le groupe Andariel est prêt à attaquer n’importe quelle entreprise. En juin, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a signalé que le ransomware Maui s’en prenait principalement aux entreprises et aux organismes publics du système de santé américain. Pourtant, notre équipe a détecté au moins une attaque qui visait une société de construction au Japon, ainsi que d’autres victimes en Inde, au Vietnam et en Russie.

Les outils du groupe Andariel

Le logiciel malveillant DTrack est l’outil principal du groupe Andariel. Il recueille des informations sur la victime et les envoie à un hôte à distance. DTrack recueille, entre autres, l’historique du navigateur et le sauvegarde dans un fichier à part. La variante utilisée pour les attaques menées par Andariel permet d’envoyer les informations recueillies au serveur des cybercriminels via HTTP, et de les conserver dans un hôte à distance sur le réseau de la victime.

Le ransomware Maui entre en jeu lorsque les cybercriminels trouvent des informations importantes. Il est généralement détecté sur les hôtes attaqués 10 heures après l’activation du programme malveillant DTrack. Nos collègues de Stairwell ont étudié des échantillons et en ont conclu qu’il est contrôlé manuellement par ses opérateurs. Autrement dit, ils lui indiquent quelles données chiffrer.

Il semblerait que les cybercriminels se servent aussi de l’outil 3Proxy. Le format compact de cet ensemble de serveurs proxy gratuits et légitimes multiplateforme, seulement quelques centaines de kilo-octets, intéresse certainement les escrocs. Cet outil peut être utilisé pour maintenir un accès à distance sur l’ordinateur compromis.

Les méthodes utilisées par Andariel pour distribuer son malware

Les cybercriminels exploitent les versions non corrigées des services publics en ligne. Dans l’un de ces cas, le programme malveillant a été téléchargé à partir d’un HFS (logiciel HTTP File Sever) : les cybercriminels ont utilisé un exploit inconnu qui leur a permis d’exécuter un script Powershell depuis un serveur à distance. Dans un autre cas, ils ont pu compromettre un serveur WebLogic en exploitant la vulnérabilité CVE-2017-10271, qui leur a ensuite permis de lancer un script.

Si vous souhaitez obtenir une description plus technique de l’attaque et des outils utilisés, et connaître les indicateurs de compromission, nous vous invitons à lire l’article publié sur Securelist.

Comment vous protéger ?

Tout d’abord, vous devez vérifier que tous les dispositifs d’entreprise, y compris les serveurs, sont équipés de solutions de sécurité robustes. De plus, il serait également judicieux d’adopter en avance une stratégie et des mesures anti-ransomware au cas où votre entreprise serait infectée.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.