Contournement de la protection MotW

Le groupe APT BlueNoroff adopte de nouvelles méthodes pour contourner la protection MotW

Habituellement, lorsqu’un utilisateur essaie de lire un document Office qui a été reçu par e-mail ou téléchargé depuis un site Web, Microsoft Office ouvre ce fichier en mode protégé. Pour ce faire, le système utilise la protection MotW (Mark-of-the-Web), l’un des mécanismes de défense par défaut de Windows. La protection MotW marque les fichiers téléchargés sur votre ordinateur provenant d’un emplacement Internet : les applications connaissent ainsi l’origine des fichiers et peuvent attirer l’attention de l’utilisateur sur un danger potentiel. Il semble toutefois peu judicieux de se fier aveuglément à l’efficacité d’un tel mécanisme d’alerte, car de nombreux cyber-attaquants utilisent déjà des méthodes pour contourner la protection MotW. C’est ainsi que récemment, lors de nos recherches sur les outils utilisés par le groupe BlueNoroff (entité soupçonnée de faire partie du groupe Lazarus), nos experts ont découvert que ce groupe employait de nouvelles méthodes pour tromper le système d’exploitation.

Comment BlueNoroff contourne la protection MotW

Le mécanisme Mark-of-the-Web fonctionne ainsi : dès qu’un utilisateur (ou un programme) télécharge un fichier depuis Internet, le système de fichiers NTFS ajoute l’attribut « depuis Internet » à ce fichier. Toutefois, cet attribut n’est pas toujours apposé. Lorsque vous téléchargez une archive, tous les fichiers de l’archive reçoivent cet attribut. Mais une archive n’est pas le seul moyen de transférer un fichier de manière indirecte.

Les cybercriminels du groupe BlueNoroff ont expérimenté de nouveaux types de fichiers et d’autres méthodes de diffusion de logiciels malveillants. Dans certains cas, ils utilisent le format .iso, fréquemment utilisé pour stocker des images de disques optiques. L’autre option est un fichier .vhd qui contient généralement un disque dur virtuel. En d’autres termes, les pirates dissimulent la véritable charge utile de l’attaque (un document leurre et un script malveillant) dans l’image ou le disque virtuel.

Une description technique plus détaillée et actualisée des outils et méthodes du groupe BlueNoroff, ainsi que des indicateurs de compromission, est disponible dans l’article rédigé par nos experts sur le blog Securelist.

Qui sont les cybercriminels BlueNoroff et que recherchent-ils ?

En début d’année 2022, nous avions déjà publié un article sur la campagne SnatchCrypto qui visait à voler des crypto-monnaies. Sur la base d’un certain nombre d’indices, nos chercheurs estiment que c’est le même groupe BlueNoroff qui en est à l’origine. L’activité observée aujourd’hui vise principalement à obtenir un gain financier. Quel que soit l’objectif, l’étape finale de l’attaque reste la même : les cybercriminels installent une porte dérobée sur l’ordinateur infecté.

Le groupe BlueNoroff a enregistré de nombreux domaines qui plagient des sociétés de capital-risque et d’investissement, ainsi que de grandes banques. À en juger par le nom des banques, ainsi que par les documents leurres utilisés par les attaquants, ces derniers s’intéressent en premier lieu pour l’instant aux cibles qui parlent japonais. Toutefois, au moins une victime du groupe a été identifiée dans les Émirats arabes unis. Selon notre expérience, BlueNoroff s’intéresse principalement aux entreprises liées aux crypto-monnaies, ainsi qu’aux sociétés financières.

Comment assurer sa sécurité ?

Tout d’abord, il faut cesser de croire que les mécanismes de protection intégrés par défaut au système d’exploitation suffisent à assurer la sécurité de votre entreprise. Le mécanisme MotW ne protège pas contre un employé qui ouvrirait un fichier reçu d’Internet et exécuterait un script malveillant. Pour que votre entreprise reste à l’abri des attaques de BlueNoroff et d’autres groupes APT similaires, nos experts recommandent :

  • l’installation de solutions de sécurité modernessur tous les appareils en activité — elles empêcheront l’exécution de scripts à partir de fichiers malveillants ;
  • la sensibilisation de vos employés aux cybermenaces modernes — une formation adéquate les aidera à éviter les pièges tendus par les attaquants ;
  • l’utilisation de solutions de protection évolutive des points de terminaison EDR et, si nécessaire, le recours à des services de détection et de réponse gérées (MDR). Ces services permettront de détecter rapidement les activités malveillantes sur le réseau de l’entreprise et de stopper une attaque avant qu’elle ne fasse de réels dégâts.
Conseils