DES HACKERS UTILISENT UNE FAILLE OBSOLèTE DE MICROSOFT OFFICE POUR DéPLOYER LE MALWARE COLBALT STRIKE

L'attaque, qui n'a pas encore été revendiquée, a utilisé une ancienne faille de type zero day de Microsoft Office, détectée en 2017, pour introduire le malware Cobalt Strike dans un faux manuel militaire américain.

Décidément, on ne peut pas dire que les hackers ne soient pas sensibles au gaspillage. Après le groupe Lazarus qui a dépoussiéré son vieux malware KaolinRAT pour le rendre plus puissant, c'est au tour d'une ancienne faille zero day de Microsoft Office d'être exploitée par un groupe pour l'heure encore inconnu des autorités et chercheurs en cybersécurité.

Et non content de faire du neuf avec du vieux, les hackers utilisent Cobalt Strike, un outil développé pour tester les vulnérabilités d'un système et dont une partie du code aurait été copiée. Ce détournement a déjà été opéré dans une campagne de malware bancaire, qui avait également exploité une vieille faille Office. Cette nouvelle mode est-elle en passe de devenir une norme dans le cybercrime ?

Cobalt Strike, le favori des hackers

On sait que le détournement est la base de nombreuses campagnes de cyberpiratage. Mais celui de Cobalt Strike est plutôt original. Ce dernier a été créé en 2012 pour améliorer les capacités de l'outil de simulation d'attaque Metasploit Framework. En 2015, Cobalt Strike 3.0 est lancé comme une plateforme autonome d'émulation de menaces. Mais dès 2016, les chercheurs en cybersécurité de Proofpoint ont découvert qu'il était utilisé par des hackers, et pas des petits clients, mais plutôt des gros bonnets tels que les APT. La démocratisation de Cobalt Strike est annoncée, avec une augmentation de son détournement à des fins malveillantes de 161 % entre 2019 et 2021.

Il est devenu un outil de choix pour les cybercriminels en raison de sa polyvalence, de sa facilité d'utilisation et de sa capacité à être personnalisé pour des campagnes spécifiques, comme celle du malware « Lockean », qui a ciblé la France en 2021.

Cobalt Strike est polyvalent, il permet d'installer des virus, de voler des informations tout en passant sous les radars des machines qu'il infecte. Il adore exploiter les failles zero day pour être directement opérationnel. Il a notamment été utilisé par un gang de pirates ukrainiens, désormais sous les verrous, lors d'attaques de ransomwares dans 71 pays.

Une méthode de déploiement qui sème le doute sur l'identité des hackers et leur cible

Une équation à deux inconnues fait cependant buter les chercheurs. Qui sont les hackers, et qui ciblent-ils ? Si l'on se penche sur la méthode, on peut conclure que la cible serait l'Ukraine. En effet, l'exploitation de failles zero day est la méthode la plus violente et directe pour atteindre une cible. Les hackers ont utilisé la faille CVE-2017-8570 pour lancer Cobalt Strike, déjà déployé pour cibler l'Ukraine en 2022. Il était dissimulé dans un faux fichier Excel de salaires de militaires ukrainiens. En l'occurrence, il s'agit d'un PowerPoint SlideShow présentant un manuel de matériel militaire américain. Première similitude.

Ensuite, les chercheurs de Deep Instinct ont pu identifier que l'échantillon avait été uploadé depuis l'Ukraine, ce qui pourrait suggérer un exercice de « Red Teaming », technique utilisée en cybersécurité pour tester les menaces cyber. Une deuxième phase de déploiement a été effectuée avec un VPN en Russie, et enfin, la balise finale Beacon de Cobalt Strike (Beacon est la partie Command & Control de Colbalt Strike, la plus virulente) a été enregistrée à Varsovie, en Pologne.

Les hackers sont-ils russes ou des alliés de l'Ukraine ? Rien n'est établi, en tous les cas du côté des chercheurs, qui écartent cependant la Russie comme origine de l'attaque. Cette nouvelle campagne montre la vulnérabilité des pays face à des hackers toujours plus ingénieux et doit nous rappeler que nous devons rester vigilants. Les attaques de malwares ou de ransomwares ne proviennent pas que de gangs célèbres et ne touchent pas que des pays.

C'est pourquoi

Clubic a sélectionné pour vous des outils pour vous prémunir contre ces ransomwares qui peuvent piller vos données ainsi que votre compte en banque.

Sources : HackRead, Deep Instinct