Les cybercriminels ciblent des organisations industrielles avec des techniques stéganographiques

Dans le but de voler les informations d'identification des employés, les cybercriminels visent les organisations du secteur industriel et les ciblent lors d'attaques sophistiquées.

Description de la situation

  • Selon l'équipe ICS CERT de Kaspersky, des pirates informatiques ont ciblé des fournisseurs industriels au Japon, en Italie, au Royaume-Uni et en Allemagne dans des attaques très ciblées.
  • Grâce à ces attaques, les cybercriminels ont envoyé des e-mails de spearphishing contenant des documents Microsoft Office avec des codes macro malveillants pour exécuter des scripts PowerShell.
  • Cette technique, appelée stéganographie, est utilisée par les attaquants pour esquiver les outils de détection et de contrôle qui contourneraient les téléchargements malveillants.

En creusant davantage

  • En créant des messages et des documents dans des langues spécifiques, les attaquants ont découvert les emplacements géographiques des cibles.
  • Le but du script PowerShell initial est de télécharger une image à partir d'adresses choisies au hasard sur les services d'hébergement Imgur ou Imgbox et d'extraire la charge utile.
  • La charge utile cachée dans l'image est codée à l'aide de Base64, chiffrée avec RSA, et à nouveau codée avec Base64. Une erreur intentionnelle dans le script crée un message d'exception, qui est la clé de déchiffrement. Le message d'exception dépend de la langue utilisée par le système d'exploitation de la cible.
  • Les données cachées dans les images sont décryptées vers un autre script PowerShell qui révèle un type d'application open source Mimikatz pour obtenir les informations d'identification d'accès sous Windows.

Les attaque par stéganographie ne sont pas récentes

  • En août 2019, Trend Micro a observé une variante de LokiBot en utilisant la stéganographie lorsqu'il a alerté une entreprise d'Asie du Sud-Est d'une menace potentielle. La société a reçu un e-mail contenant une pièce jointe prétendument d'une entreprise de confiserie indienne.
  • La société de sécurité britannique Sophos a découvert un botnet, surnommé MyKingz, qui utilisait des techniques de stéganographie pour dissimuler un fichier .exe malveillant à l'intérieur d'une image de la chanteuse pop Taylor Swift en 2019.
  • Un chercheur en sécurité de Bromium a découvert un ransomware intégré à une image téléchargeable de Super Mario en 2019 ... À l'aide de la stéganographie, les pirates ont envoyé des e-mails accompagnés de feuilles de calcul contenant des logiciels malveillants et une macro intégrée.

Pourquoi devriez-vous vous en soucier ?

En utilisant des services de stéganographie et d'hébergement d'images publiques, les acteurs de la menace peuvent facilement contourner les solutions de sécurité du réseau et laisser leur charge utile passer inaperçue. Le message d'exception personnalisé échappe à une analyse automatique du malware… Éviter les attaques stéganographiques commence par bloquer l'accès initial. La protection contre les vecteurs d'attaque en formant les employés à détecter les messages suspects est une étape essentielle vers une approche de sécurité améliorée.

 

Source : Cyware