MontysThree: cyber-espion industriel

Les cybercriminels utilisent la stéganographie pour cacher leur code et obtenir des données industrielles.

Nos experts ont détecté des traces d’activité d’un nouveau groupe de cybercriminels qui espionne les industries. Les escrocs perpètrent des attaques ciblées et utilisent un outil que nos chercheurs ont surnommé MontysThree pour trouver des documents sur l’ordinateur de leurs victimes. Le groupe semble être actif depuis 2018 au moins.

Comment MontysThree infecte les ordinateurs ?

Les cybercriminels ont recours à des techniques classiques de spear-phishing (harponnage) pour pénétrer dans l’ordinateur des victimes. Ils envoient des fichiers exécutables qui ressemblent à des documents au format .pdf ou .doc par e-mail aux employées des entreprises industrielles. Ces fichiers apparaissent souvent le nom de « Mise à jour des données d’entreprise », « Caractéristiques techniques », « Liste des numéros de téléphone des employés 2019 » etc. Dans certains cas, les pirates informatiques essaient de faire passer ces fichiers pour des documents médicaux en les nommant « Résultats de votre analyse médicale » ou « Invitro-106650152-1.pdf ». Il convient de souligner que Invitro est un des plus grands laboratoires russes.

Qu’est-ce que les escrocs veulent ?

MontysThree s’en prend à des documents spécifiques, aux formats Microsoft Office et Adobe Acrobat, qui se trouvent dans plusieurs répertoires et sur les médias connectés. Après avoir été injecté, le malware fait le portrait de l’ordinateur de la victime en envoyant la version du système, la liste des processus et des captures d’écran du bureau à son serveur de contrôle C&C ainsi qu’une liste des documents récemment ouverts dans les repertoires USERPROFILE et APPDATA qui ont les extensions .doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw, et .pwd.

Qu’est-ce que MontysThree peut faire d’autre ?

Les auteurs ont mis en place d’autres mécanismes assez inhabituels dans leur malware. Par exemple, après l’infection, le module de téléchargement extrait et décode le module principal qui est chiffré dans une image grâce à la stéganographie. Nos experts pensent que les cybercriminels ont écrit l’algorithme de stéganographie à partir de rien et qu’ils ne l’ont pas tout simplement copié de modèles open-source comme c’est souvent le cas.

Le malware utilise les services Cloud publics, comme Google, Microsoft, Dropbox et WebDAV pour communiquer avec le serveur de contrôle. De plus, le module de communication peut faire des demandes en passant par RDP et Citrix. Les créateurs du malware n’ont pas intégré de protocole de communication dans leur code. MontysThree utilise plutôt des programmes légitimes (RDP, clients Citrix et Internet Explorer).

Pour que le malware reste le plus longtemps possible dans le système de la victime, un module auxiliaire modifie les raccourcis de la barre d’outils Quick Launch de Windows. Ainsi, lorsque l’utilisateur ouvre un raccourci (celui du navigateur par exemple) le module de chargement MontysThree s’exécute en même temps.

Qui sont les cybercriminels ?

Nos experts ne voient aucun détail qui permettrait de relier les créateurs de MontysThree à d’autres attaques passées. Il semblerait que ce soit un groupe de cybercriminels totalement nouveau et, à en juger par les morceaux de texte du code, leur langue maternelle serait le russe. De même, leurs cibles principales sont très probablement des entreprises qui parlent russe. Certains des répertoires dans lesquels le malware fouille n’existe que dans la version cyrillique du système. Même si nos experts ont aussi trouvé des informations relatives aux comptes des services de communication qui laissent croire à une origine chinoise, ils pensent que ce sont des faux détails qui servent à brouiller les pistes.

Une description technique détaillée de MontysThree et des indicateurs de compromission sont disponibles dans l’article publié sur notre site Securelist.

Que faire ?

Pour commencer, expliquez encore une fois à vos employés que les attaques ciblées commencent souvent avec un e-mail et qu’ils doivent faire très attention lorsqu’ils ouvrent des fichiers, surtout s’ils ne s’attendaient pas à les recevoir. Pour vous assurer qu’ils comprennent pourquoi ils doivent rester sur leurs gardes, nous vous conseillons de leur expliquer les dangers d’un tel comportement et d’améliorer leurs compétences dans la lutte contre les cybermenaces modernes en utilisant la plateforme Kaspersky Automated Security Awareness Platform.

Pour vous protéger des attaques ciblées sophistiquées, vous devez installer des solutions intégrées de sécurité qui associent la protection du poste de travail, les capacités EDR et d’autres outils qui permettent d’analyser les attaques et d’y mettre un terme.

Conseils