Nos experts ont identifié un groupe de cybercriminels spécialisé dans le vol de secrets industriels. À en juger par les entreprises qui en ont été victimes jusqu’à présent, le groupe s’intéresse principalement aux entreprises de la fintech, aux cabinets juridiques et aux conseillers financiers même s’il y a eu au moins un cas d’attaque à une entité diplomatique.

Un tel choix de cibles pourrait indiquer que ce groupe, connu sous le nom de code DeathStalker, cherche à obtenir certaines informations spécifiques pour les vendre, ou offre un service d’ « attaque à la demande ». En d’autres termes, ce groupe est un mercenaire.

Le groupe DeathStalker est actif depuis 2018 voire plus tôt ; peut-être depuis 2012. L’utilisation de l’implant Powersing est le premier élément qui a attiré l’attention de nos experts. Des opérations plus récentes emploient aussi des méthodes similaires.

L’attaque

Tout d’abord, les criminels pénètrent dans le réseau de la victime grâce au spear phishing puis envoient un fichier LNK malveillant qui se fait passer pour le document d’un employé de l’entreprise. Le fichier s’avère être un raccourci qui lance l’interpréteur de commandes du système, cmd.exe, et s’en sert pour exécuter un script malveillant. La victime voit un document sans aucune signification (au format PDF, DOC ou DOCX) ce qui lui laisse croire qu’elle a ouvert un fichier normal.

Il est assez intéressant de constater que le code malveillant ne contient pas l’adresse du serveur C&C. À la place, le programme accède à un article publié sur une plateforme publique, où il lit une chaîne de caractères qui, au premier abord, semble dénuée de sens. En réalité, cette chaîne contient des informations chiffrées qui permettent d’activer la prochaine étape de l’attaque. Ce genre de tactique est connu sous le nom de dead drop resolver.

Au cours de la prochaine étape, les cybercriminels prennent le contrôle de l’ordinateur, installe un raccourci malveillant dans le dossier d’exécution automatique (autorun, pour qu’il ne cesse de s’exécuter dans le système) puis établissent une connexion avec le vrai serveur C&C. Cela ne se fait qu’après que le malware ait décodé l’adresse qui semble être une autre chaîne insignifiante publiée sur un site Internet légitime.

L’implant Powersing réalise essentiellement deux tâches. Il fait régulièrement des captures d’écran du dispositif de la victime et les envoie au serveur C&C, et il exécute d’autres scripts PowerShell qu’il télécharge à partir du serveur C&C. En d’autres termes, l’objectif est de s’implanter dans la machine de la victime pour lancer d’autres outils.

Comment tromper les mécanismes de sécurité

Lors de chaque étape, ce malware emploie diverses méthodes pour contourner les technologies de sécurité et il choisit la méthode suivant sa cible. De plus, s’il détecte qu’une solution de sécurité est installée sur l’ordinateur pris pour cible, il change de tactique ou se désactive. Nos experts pensent que les cybercriminels étudient la cible et ajustent avec précision les scripts de chaque attaque.

La technique la plus curieuse de DeathStalker est l’utilisation de services publics comme mécanisme de dead-drop-resolver. En substance, ces services autorisent le stockage d’informations chiffrées à une adresse fixe sous la forme d’articles, de commentaires, de profils utilisateurs et de descriptions de contenu publiquement accessibles. Ces publications peuvent ressembler à ceci :

De manière générale, ce n’est qu’une astuce. C’est de cette façon que les cybercriminels essaient de cacher le début de la communication avec le serveur C&C puisqu’ils font croire aux mécanismes de sécurité que quelqu’un ne fait qu’accéder à des sites Internet publics. Nos experts ont identifié des cas où les pirates informatiques ont utilisé des sites Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube et WordPress à ces fins. Cette liste est loin d’être complète. Néanmoins, il est peu probable que les entreprises bloquent l’accès à ces services.

Vous trouverez plus d’informations sur un éventuel lien entre le groupe DeathStalker et les malwares Janicab et Evilnum, ainsi qu’une description technique complète de Powersing, avec quelques indicateurs de compromission, dans l’article récemment publié sur Securelist au sujet de DeathStalker.

Comment protéger votre entreprise de DeathStalker

La description des méthodes et des outils utilisés par le groupe permet de savoir quels dangers menacent une entreprise, même assez petite, dans le monde moderne. Évidemment, il est peu probable que ce groupe soit un acteur d’APT d’autant que les astuces utilisées ne sont pas vraiment complexes. Pourtant, ses outils sont conçus pour déjouer de nombreuses solutions de sécurité. Nos experts conseillent de prendre ces quelques mesures de protection :

• Soyez particulièrement attentif aux processus lancés par des interpréteurs de langage de scripts, notamment powershell.exe et cscript.exe. S’ils ne sont objectivement pas nécessaires pour vos tâches professionnelles, désactivez-les.
• Faites attention aux attaques commises par les fichiers LNK reçus par e-mails.
• Utilisez des technologies de protection avancées, y compris des solutions de type EDR.

Nous avons notamment une solution intégrée dans notre arsenal capable d’assumer les fonctions des plateformes de protection des postes de travail (EPP) et des technologies de protection, de détection et de réponse (EDR). Cliquez ici pour en savoir plus.