{"id":11595,"date":"2019-04-10T09:11:07","date_gmt":"2019-04-10T09:11:07","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11595"},"modified":"2022-05-05T13:46:49","modified_gmt":"2022-05-05T11:46:49","slug":"gaza-cybergang","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/gaza-cybergang\/11595\/","title":{"rendered":"Le groupe Gaza cybergang et sa campagne SneakyPastes"},"content":{"rendered":"

Nous parlons g\u00e9n\u00e9ralement des attaques APT lors de la conf\u00e9rence Security Analyst Summit (SAS) de Kaspersky. C\u2019est \u00e0 cette occasion que nous avons communiqu\u00e9 pour la premi\u00e8re fois les informations que nous avions sur Slingshot<\/a>, Carbanak<\/a>, et Careto<\/a>. Les attaques cibl\u00e9es sont toujours aussi pr\u00e9sentes et cette ann\u00e9e ne fait pas exception \u00e0 la r\u00e8gle. Lors du SAS 19 \u00e0 Singapour, nous avons parl\u00e9 de l\u2019APT d\u2019un groupe criminel que se fait appeler Gaza cybergang.<\/p>\n

Artillerie lourde<\/strong><\/p>\n

Le groupe Gaza cybergang est sp\u00e9cialis\u00e9 dans le cyber-espionnage et sa campagne se limite essentiellement au Moyen-Orient et aux pays d\u2019Asie centrale. Les hommes politiques, diplomates, journalistes, activistes et citoyens de la r\u00e9gion actifs au niveau politique sont ses principales victimes.<\/p>\n

Quant au nombre d\u2019attaques que nous avons enregistr\u00e9es entre janvier 2018 et janvier 2019, les cibles qui se trouvaient au sein des territoires palestiniens \u00e9taient largement en t\u00eate. Plusieurs tentatives d\u2019infection apparaissent aussi en Jordanie, Isra\u00ebl et au Liban. Lors de ces attaques, le groupe criminel a utilis\u00e9 des m\u00e9thodes et des outils de divers degr\u00e9s de complexit\u00e9.<\/p>\n

Nos experts ont identifi\u00e9 trois sous-groupes dans le cybergang. Nous avons d\u00e9j\u00e0 parl\u00e9 de deux d\u2019entre eux. Le premier est l\u2019auteur de la campagne Desert Falcons<\/a>, alors que l\u2019autre est \u00e0 l\u2019origine des attaques personnalis\u00e9es connues comme Operation Parliament<\/a>.<\/p>\n

Il est maintenant temps de parler du troisi\u00e8me groupe que nous appelons MoleRATs. Ce groupe utilise des outils assez simples, mais sa campagne SneakyPastes (pour l\u2019utilisation active de pastebin.com) est autant dangereuse.<\/p>\n

SneakyPastes\u00a0<\/strong><\/p>\n

La campagne comprend plusieurs \u00e9tapes. Tout commence par l\u2019hame\u00e7onnage, gr\u00e2ce \u00e0 des lettres d\u2019adresses et de domaines \u00e0 usage unique. Les lettres contiennent parfois des liens qui redirigent vers un malware, ou des pi\u00e8ces jointes infect\u00e9es. Si la victime ex\u00e9cute le fichier joint, ou suit le lien, son appareil re\u00e7oit un malware Stage One (premi\u00e8re \u00e9tape) programm\u00e9 pour activer la cha\u00eene de contamination.<\/p>\n

Les lettres, qui sont cens\u00e9es faire baisser la garde de l\u2019utilisateur, parlent principalement de politique. Il s\u2019agit de dossiers de n\u00e9gociations politiques, ou d\u2019adresses de certaines organisations cr\u00e9dibles.<\/p>\n

Une fois que le malware Stage One est bien install\u00e9 dans l\u2019ordinateur, il essaie de prot\u00e9ger sa position, de dissimuler sa pr\u00e9sence pour que les antivirus ne puissent pas le d\u00e9tecter, et de se cacher du serveur de commande.<\/p>\n

Les pirates informatiques utilisent les services publics (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com, et pomf.cat) pour les prochaines \u00e9tapes de l\u2019attaque, y compris pour la distribution du malware, et surtout pour communiquer avec le serveur de commande. Ils utilisent g\u00e9n\u00e9ralement plusieurs m\u00e9thodes en m\u00eame temps pour distribuer les informations extraites.<\/p>\n

Enfin, l\u2019appareil est infect\u00e9 par un malware RAT<\/a> qui proposent de puissantes fonctionnalit\u00e9s. Il peut, entre autres, t\u00e9l\u00e9charger librement les fichiers, lancer des applications, chercher des documents, et chiffrer les donn\u00e9es.<\/p>\n

Le malware analyse l\u2019ordinateur de la victime pour localiser tous les fichiers PDF, DOC, DOCX et XLSX, les sauvegarde dans des dossiers de fichiers temporaires, les classe, les archive, les chiffre, et les envoie au serveur de commande en utilisant une cha\u00eene de domaines.<\/p>\n

En r\u00e9alit\u00e9, nous constatons qu\u2019ils utilisent de nombreux outils pour perp\u00e9trer ce genre d\u2019attaque. Vous pouvez en savoir plus sur ce sujet et obtenir plus de d\u00e9tails techniques dans cet article que nous avons publi\u00e9 sur Securelist<\/a>.<\/p>\n

Une protection int\u00e9gr\u00e9e pour lutter contre les menaces int\u00e9gr\u00e9es<\/strong><\/p>\n

Nos produits ont \u00e9t\u00e9 d\u00e9velopp\u00e9s pour bloquer avec succ\u00e8s les composants utilis\u00e9s dans la campagne SneakyPastes. Suivez ces quelques conseils pour ne pas en \u00eatre victime.<\/p>\n