Contexte
Le Bureau fédéral d'enquête américain (FBI) a effectué le 26 août 2023 une opération de démantèlement et de désinfection du réseau de machines zombies ou botnet Qakbot (aussi appelé Qbot), en lien avec les autorités allemandes, néerlandaises, britanniques et françaises.En France, l’Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) et la section J3 Cybercriminalité du parquet de Paris ont participé à l’opération. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a apporté son soutien à l’opération en participant à l’identification et à la notification des victimes sur le périmètre français.
Plus d’informations sur l’opération sont disponibles dans les communications du parquet du Tribunal judiciaire de Paris, d’Eurojust et Europol, des États-Unis (FBI, DOJ, U.S. Attorney's Office), de l’Allemagne (BKA), des Pays-Bas (Openbaar ministerie et politie) et du Royaume-Uni (NCA).
Actif depuis 2008, Qakbot est à l’origine un cheval de Troie bancaire. Son architecture modulaire a depuis permis d’autres utilisations, comme l’enrôlement de machines infectées dans le botnet du même nom ou le vol d’authentifiants de messagerie électronique dont le contenu sert à mener de nouvelles attaques. Les sites Check your hack (de la Police néerlandaise), et Have I been pwned ? permettent de vérifier si un compte de messagerie est connu pour avoir été compromis par Qakbot.
Qakbot est généralement distribué par le biais de campagnes d’hameçonnage. Les opérateurs de Qakbot utilisaient notamment la technique de l’« email thread hijacking » qui consiste à reprendre des fils de discussion existants dans des messageries compromises pour mener des campagnes d’hameçonnage visant à distribuer le cheval de Troie.
Enfin, Qakbot peut également servir comme point d’entrée sur le réseau des victimes pour déployer des codes malveillants tiers comme des outils génériques offensifs (Cobalt Strike, SystemBC ou BruteRatel C4 par exemple) et des rançongiciels (Prolock, Royal ou BlackBasta). Pour cette raison, il est particulièrement important de procéder à des investigations complémentaires sur les systèmes d’information dont une machine a été infectée, à la recherche de traces de latéralisation ou d’autres outils malveillants.
Références :
Black Basta Ransomware Gang Infiltrates Networks via QAKBOT, Brute Ratel, and Cobalt Strike (trendmicro.com) New QBot Banking Trojan Campaign Hijacks Business Emails to Spread Malware (thehackernews.com) #StopRansomware: Royal Ransomware | CISA ProLock Ransomware teams up with QakBot trojan for network access (bleepingcomputer.com)
Recommandations
De manière générale, lorsqu’une machine d’un système d’information est susceptible d’avoir été compromise par un code malveillant servant de point d’entrée sur le réseau, le CERT-FR recommande les actions suivantes :1. Qualifier l’infection
- Identifier la machine, poste de travail ou serveur, potentiellement concernée ;
- En cas de doute, considérer la machine comme infectée ;
- Inventorier les secrets d’authentification (mots de passe ou clés privées de comptes Windows, Linux, VPN, messagerie, applicatifs métiers, etc.) utilisés ou conservés sur la machine concernée, ainsi que les droits dont disposent ces comptes dans le reste du système d’information (permissions Active Directory notablement).
Utiliser les moyens de supervision du système d’information pour rechercher les connexions anormales avec les comptes utilisés sur la machine infectée. Rechercher aussi les tentatives d’accès échouées en lien avec la machine ou les comptes qui y ont été utilisés. Rechercher dans les alertes antivirales les signes d’implantation de codes malveillants sur des machines autres que celle initialement identifiée. Si le ou les comptes compromis étaient administrateurs de tout ou partie du système d’information, il convient de faire effectuer une recherche de compromission en profondeur sur le périmètre qu’ils administraient. Notablement, s’ils disposaient de délégation de droits dans un annuaire Active Directory (AD), il convient de faire auditer ce dernier. L’ANSSI propose le service ADS à ses bénéficiaires qui permet de réaliser un audit de premier niveau de l’AD.
3. Remédiation
- Isoler la machine compromise du système d’information ;
- Si un dépôt de plainte ou des investigations sont envisagés, conserver la machine isolée du système d’information ;
- Remplacer la machine compromise par une machine neuve ou réinstallée ;
- Changer les secrets d’authentification utilisés sur la machine durant sa compromission.
- Prévenir les exécutions depuis des répertoires inscriptibles par les utilisateurs tels que les répertoires temporaires et personnels (en utilisant des composants intégrés à Windows tels que AppLocker, Software Restriction Policies, ou Windows Defender Application Control) ;
- Prévenir les communications directes entre postes de travail (par exemple au moyen du pare-feu intégré à Windows, du mécanisme de Private VLAN des commutateurs réseaux, ou de configuration des concentrateurs VPN si les postes sont toujours connectés en VPN) ;
- Supervision renforcée :
- Détecter les exécutions depuis les répertoires inscriptibles par l’utilisateur non privilégié ;
- Porter une attention renforcée aux alertes EDR ;
- S’assurer de la couverture de déploiement de l’antivirus et/ou de l’EDR et de la mise à jour de leurs définitions anti-virales.