Le groupe Gaza cybergang et sa campagne SneakyPastes

10 Avr 2019

Nous parlons généralement des attaques APT lors de la conférence Security Analyst Summit (SAS) de Kaspersky. C’est à cette occasion que nous avons communiqué pour la première fois les informations que nous avions sur Slingshot, Carbanak, et Careto. Les attaques ciblées sont toujours aussi présentes et cette année ne fait pas exception à la règle. Lors du SAS 19 à Singapour, nous avons parlé de l’APT d’un groupe criminel que se fait appeler Gaza cybergang.

Artillerie lourde

Le groupe Gaza cybergang est spécialisé dans le cyber-espionnage et sa campagne se limite essentiellement au Moyen-Orient et aux pays d’Asie centrale. Les hommes politiques, diplomates, journalistes, activistes et citoyens de la région actifs au niveau politique sont ses principales victimes.

Quant au nombre d’attaques que nous avons enregistrées entre janvier 2018 et janvier 2019, les cibles qui se trouvaient au sein des territoires palestiniens étaient largement en tête. Plusieurs tentatives d’infection apparaissent aussi en Jordanie, Israël et au Liban. Lors de ces attaques, le groupe criminel a utilisé des méthodes et des outils de divers degrés de complexité.

Nos experts ont identifié trois sous-groupes dans le cybergang. Nous avons déjà parlé de deux d’entre eux. Le premier est l’auteur de la campagne Desert Falcons, alors que l’autre est à l’origine des attaques personnalisées connues comme Operation Parliament.

Il est maintenant temps de parler du troisième groupe que nous appelons MoleRATs. Ce groupe utilise des outils assez simples, mais sa campagne SneakyPastes (pour l’utilisation active de pastebin.com) est autant dangereuse.

SneakyPastes 

La campagne comprend plusieurs étapes. Tout commence par l’hameçonnage, grâce à des lettres d’adresses et de domaines à usage unique. Les lettres contiennent parfois des liens qui redirigent vers un malware, ou des pièces jointes infectées. Si la victime exécute le fichier joint, ou suit le lien, son appareil reçoit un malware Stage One (première étape) programmé pour activer la chaîne de contamination.

Les lettres, qui sont censées faire baisser la garde de l’utilisateur, parlent principalement de politique. Il s’agit de dossiers de négociations politiques, ou d’adresses de certaines organisations crédibles.

Une fois que le malware Stage One est bien installé dans l’ordinateur, il essaie de protéger sa position, de dissimuler sa présence pour que les antivirus ne puissent pas le détecter, et de se cacher du serveur de commande.

Les pirates informatiques utilisent les services publics (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com, et pomf.cat) pour les prochaines étapes de l’attaque, y compris pour la distribution du malware, et surtout pour communiquer avec le serveur de commande. Ils utilisent généralement plusieurs méthodes en même temps pour distribuer les informations extraites.

Enfin, l’appareil est infecté par un malware RAT qui proposent de puissantes fonctionnalités. Il peut, entre autres, télécharger librement les fichiers, lancer des applications, chercher des documents, et chiffrer les données.

Le malware analyse l’ordinateur de la victime pour localiser tous les fichiers PDF, DOC, DOCX et XLSX, les sauvegarde dans des dossiers de fichiers temporaires, les classe, les archive, les chiffre, et les envoie au serveur de commande en utilisant une chaîne de domaines.

En réalité, nous constatons qu’ils utilisent de nombreux outils pour perpétrer ce genre d’attaque. Vous pouvez en savoir plus sur ce sujet et obtenir plus de détails techniques dans cet article que nous avons publié sur Securelist.

Une protection intégrée pour lutter contre les menaces intégrées

Nos produits ont été développés pour bloquer avec succès les composants utilisés dans la campagne SneakyPastes. Suivez ces quelques conseils pour ne pas en être victime.

  • Apprenez à vos employés à reconnaître les lettres dangereuses, quelles soient en masse ou ciblées. L’hameçonnage est la première étape des attaques du groupe Gaza cybergang. Notre plateforme interactive Kaspersky ASAP vous fournit les informations nécessaires et vous transmet les compétences requises.
  • Utilisez des solutions intégrées pour faire face aux attaques complexes et à plusieurs étapes qui pourraient être trop difficiles pour les antivirus de base. Pour résister aux attaques au niveau du réseau, nous vous recommandons d’utiliser un paquet qui comprend Kaspersky Anti Targeted Attack et Kaspersky Endpoint Detection and Response.
  • Si votre entreprise utilise un service spécialisé dans la sécurité des informations, nous vous conseillons de vous abonner aux rapports de Kaspersky Lab dont l’accès est limité, et où nous communiquons tous les détails que nous avons sur les menaces informatiques actuelles. Vous pouvez souscrire un abonnement en envoyant un e-mail à intelreports@kaspersky.com