Des cybercriminels exploitent un autre outil de simulation de menace

Les fabricants de produits de cybersécurité sont invités à adapter leurs applications pour détecter les abus d’un nouvel outil de simulation d’attaque commerciale utilisé par les cybercriminels.

Source: WhataWin / Getty

L’avertissement, émis aujourd’hui par des chercheurs du service de renseignements sur les menaces Unit 42 de Palo Alto Networks, exhorte également les équipes de TI et de cybersécurité dans les organisations à surveiller les signes de logiciels malveillants qui incluent l’outil Brute Ratel C4 (BRc4).

BRc4, vendu par une société appelée Dark Vortex, est similaire à l’outil commercial légitime de simulation d’attaque Cobalt Strike vendu aux services informatiques pour tester les défenses et former le personnel. Depuis plusieurs années, les cybercriminels utilisent des copies illégales de Cobalt Strike pour aider dans leurs attaques en analysant les réseaux des victimes. Maintenant, les cybercriminels utilisent plutôt le BRc4.

Les chercheurs de Unit 42 ont affirmé qu’en mai, quelqu’un avait téléchargé un fichier contenant une charge utile associée à BRc4 sur le site Web de VirusTotal pour vérification. VirusTotal est un outil utilisé par les chercheurs en sécurité pour identifier d’éventuels codes malveillants à l’aide de scanners antimalware de 56 entreprises. Cependant, selon Unit 42, ce logiciel malveillant particulier a été transmis par tous les scanners.

Selon Unit 42, ce qui rend le BRc4 « particulièrement dangereux », c’est qu’il a été spécialement conçu pour éviter la détection par les outils de détection et de réponse et les antivirus.

L’échantillon de logiciel malveillant examiné par Unit 42 s’est connecté au port 443 d’une adresse IP d’Amazon Web Services (AWS) située aux États-Unis, indique le rapport. Le certificat de vérification X.509 sur le port d’écoute a été configuré pour se faire passer pour Microsoft, avec « Microsoft » comme nom d’organisation de et « Security » comme unité organisationnelle.

En se basant sur le certificat et d’autres artefacts, les chercheurs ont identifié 41 adresses IP malveillantes, neuf échantillons BRc4 et trois autres organisations en Amérique du Nord et du Sud qui ont été touchées par cet outil jusqu’à présent, indique le rapport.

Le rapport ne précise pas comment le logiciel malveillant examiné par Unit 42 est distribué – sous forme de pièce jointe à un e-mail ou de fichier téléchargé après avoir compromis une application ou un appareil vulnérable, ou un autre mécanisme.

L’échantillon de logiciel malveillant examiné par Unit 42 était présenté sous la forme d’un fichier ISO autonome. Un fichier de raccourci Windows (LNK), une DLL contenant une charge utile malveillante et une copie légitime de Microsoft OneDrive Updater étaient inclus. Les tentatives d’exécution de l’application bénigne à partir du dossier monté sur ISO ont entraîné le chargement de la charge utile malveillante en tant que dépendance via une technique connue sous le nom de détournement d’ordre de recherche DLL, indique le rapport.

« Ces techniques démontrent que les utilisateurs de l’outil utilisent désormais la technologie des États-nations pour déployer BRc4 », indique le rapport.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Faible maturité des entreprises canadiennes en matière de cybersécurité

Une porte dérobée dans le serveur Web IIS de Microsoft, préviennent les chercheurs de Kaspersky

Un ver se propage via des clés USB infectées, prévient Microsoft

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Le paiement moyen par rançongiciel atteint 450 000 dollars au Canada

La rançon moyenne payée par des entreprises et des organisations du Canada s'élève à plus de 450 000 dollars canadiens, selon un sondage mené auprès d’entreprises pour Palo Alto Networks.

Des vulnérabilités non divulguées pendant des mois à Palo Alto Networks

L'entreprise de cybersécurité Randori essuie des critiques pour ne pas avoir informé Palo Alto Networks pendant des mois au sujet de deux vulnérabilités sérieuses trouvées dans un produit RPV.

Croissance du marché des serveurs monofonctionnels de sécurité

Le marché des serveurs monofonctionnels de sécurité a continué...