Entre le 27 et le 29 mai 2024, une opération de démantèlement de plusieurs infrastructures liées à des codes cybercriminels a été menée dans le cadre d’une coopération judiciaire internationale impliquant les autorités allemandes, néerlandaises, danoises, françaises, britanniques et américaines. Cette opération nommée ENDGAME est dans la continuité de l’opération de démantèlement du botnet Qakbot lancée par les États-Unis en août 2023.
Davantage d’informations sur l’opération sont disponibles dans les communiqués du parquet du Tribunal judiciaire de Paris, d’Eurojust et Europol, de l’Allemagne, des Pays-Bas, du Danemark, du Royaume-Uni et des États-Unis. Dans le cadre de cette opération, l’ANSSI apporte son soutien pour l’identification et la notification des victimes.
Les codes malveillants concernés (BumbleBee, IcedID, Pikabot, SmokeLoader et SystemBC) peuvent servir de point d’entrée sur le système d’information des victimes pour déployer d’autres codes malveillants, comme des outils génériques offensifs (Cobalt Strike, Meterpreter, Sliver, BruteRatel) mais surtout des rançongiciels parmi lesquels Akira, Conti, Royal, BlackBasta ou encore Nokoyawa. Pour cette raison, il est particulièrement important de procéder à des investigations complémentaires sur les systèmes d’information dont une machine a été infectée, à la recherche de traces de latéralisation ou d’autres outils malveillants.
BumbleBee
Actif depuis mars 2022, BumbleBee est un chargeur malveillant (loader) utilisé par des acteurs cybercriminels pour obtenir un premier accès dans les systèmes d’information des victimes et déployer par la suite une ou plusieurs charges supplémentaires.
Ce maliciel est utilisé comme point d’entrée pour déployer des codes malveillants tiers comme des outils génériques offensifs (Cobalt Strike, Sliver et Meterpreter notamment) et des rançongiciels (Conti, Quantum, MountLocker, Diavol, Akira).
BumbleBee est généralement distribué par le biais de campagnes d’hameçonnage reposant notamment sur la technique de l’«email thread hijacking », qui consiste à reprendre des fils de discussion existants dans des messageries compromises pour distribuer le code malveillant. Des distributions via des sites et publicités malveillants (téléchargement de faux logiciels imitant Zoom, Cisco AnyConnect, ChatGPT, Citrix Workspace) ont également été constatées. Enfin, BumbleBee peut être déployé par d’autres codes malveillants, tels que Emotet ou Raspberry Robin.
Références :
- Bumbleblee, un nouveau chargeur tendance pour les initial access brokers, Sekoia, 13 juin 2022
- This isn’t optimus prime’s Bumblebee but it’s still transforming, Proofpoint, 28 avril 2022
- Threat Analysis report Bumblebee loader the high road to enterprise domain controle, Cybereason, 15 août 2022
- Bumblebee malware distributed via trojanized installer downloads, Secureworks, 20 avril 2023
- Raspberry Robin worm part of larger ecosystem facilitating pre-ransomware activity, Microsoft, 27 octobre 2022
- Emotet returns and deploys loaders, Intrinsec, 9 janvier 2023
IcedID
Actif depuis 2017, IcedID est à l’origine un cheval de Troie bancaire, c’est-à-dire un programme malveillant utilisé pour dérober des informations bancaires sur le navigateur de la victime puis effectuer des virements frauduleux.
Aujourd’hui, IcedID est prisé par les cybercriminels pour récupérer des authentifiants et obtenir des accès persistants sur le système d’information des victimes. Son architecture modulaire lui permet également de servir de point d’entrée pour déployer des codes malveillants tiers comme des outils génériques offensifs tels que Cobalt Strike et des rançongiciels (BlackBasta, Nokoyawa, Dagon Locker entre autres).
Le vecteur de diffusion de IcedID varie selon l’attaquant. Il peut être déployé par un autre code malveillant qui aurait compromis en amont la machine ou être distribué par le biais de campagnes d’hameçonnage ou de publicités malveillantes.
Références :
- 2 variants du Cheval de Troie IcedID inquiètent les chercheurs, CSIRT Universitaire, 30 mars 2023
- IcedID, compromission d’un Active Directory en moins de 24h, CERT Santé, 20 janvier 2023
- From IcedID to Dagon Locker Ransomware in 29 Days The DFIR Report, 29 avril 2024
Pikabot
Actif depuis 2023, Pikabot est un code malveillant utilisé par des acteurs cybercriminels pour avoir un premier accès dans les systèmes d’information des victimes afin de déployer par la suite une ou plusieurs charges supplémentaires.
Ce maliciel est utilisé comme point d’entrée sur le réseau des victimes pour déployer des codes malveillants comme des outils génériques offensifs (Cobalt Strike, Meterpreter), d’autres codes malveillants (IcedID, Meduza Stealer) et des rançongiciels (BlackBasta).
Pikabot est généralement distribué par courriel d’hameçonnage contenant un lien malveillant. Des distributions par publicités malveillantes ont également été constatées, imitant notamment de fausses annonces de téléchargement de la solution AnyDesk.
Références :
- Deep dive into the Pikabot cyber threat – Sophos News
- Colin Cowie: "How can anyone reasonably expe…" - Infosec Exchange
- Unit 42 sur X : 2024-03-06 (Wednesday): "#Pikabot infection led to #Meduza Stealer"
SmokeLoader
Actif depuis 2011, SmokeLoader est un code malveillant modulaire utilisé par les cybercriminels pour effectuer des actions de reconnaissance sur la machine de la victime et y installer des codes ou accès persistants. Vendu sur plusieurs plateformes cybercriminelles comme service à la demande, il est utilisé par différents groupes et acteurs distincts aux objectifs variés : déploiement de rançongiciel, revente d’accès compromis, virements frauduleux.
SmokeLoader est principalement utilisé comme chargeur de première étape pour distribuer des codes malveillants tiers comme des voleurs d’informations (ou infostealers, comme Raccoon Stealer), des portes dérobées (SystemBC), d’autres loaders (Amadey Loader, Danabot, IcedID) ou des rançongiciels (8Base, Phobos)
SmokeLoader est généralement distribué par le biais de campagnes de spams ou d’hameçonnage ciblées qui contiennent des documents Word ou PDF malveillants.
Références :
- Amadey malware spreads via keygens laced with SmokeLoader, Security Affairs, 25 juillet 2022
- SmokeLoader Malware Analysis, Any Run, mars 2024
- A deep dive into Phobos ransomware, recently deployed by 8Base group Cisco Talos, 17 novembre 2023
SystemBC
Identifié en 2018, SystemBC est un code malveillant d’accès à distance permettant de transformer la machine infectée en proxy SOCKS. Cette fonctionnalité permet à l’attaquant de relayer son trafic via un tunnel SOCKS entre le serveur de commande et de contrôle et le système d’information de la victime.
Depuis 2020, SystemBC a évolué pour permettre à l’opérateur de télécharger puis exécuter depuis les machines compromises d’autres codes malveillants. Ce code malveillant est ainsi utilisé lors de nombreuses campagnes cybercriminelles pour déployer, entre autres, des rançongiciels tels que Ryuk, Egregor, BlackBasta, Rhysida, AlphV ou Phobos.
SystemBC est promu sur différents forums cybercriminels et disponible à l’achat sur une plateforme accessible en source ouverte.
La distribution des implants SystemBC est effectuée par le biais d’autres outils comme Cobalt Strike ou des codes malveillants comme Emotet, SmokeLoader ou DarkGate, qui ont été utilisés pour compromettre la machine de la victime au préalable.
Références :
- Ransomware operators use SystemBC RAT as off-the-shelf Tor backdoor, Sophos, 16 décembre 2020
- Inside The SYSTEMBC Malware Server, Kroll, 19 janvier 2024
- The Rhysida Ransomware: Activity Analysis and Ties to Vice Society , Check Point Research, 8 aout 2023
Recommandations
Qualifier l’infection
- Identifier la machine, poste de travail ou serveur, concerné(e) ;
- Vérifier qu’elle était bien active dans la période signalée ;
- En cas de doute, considérer le poste comme infecté ;
- Inventorier les secrets et comptes utilisés sur la machine concernée ainsi que leurs droits dans le système d’information (permissions Active Directory notablement).
Recherche de compromission
- Utiliser les moyens de supervision du système d’information pour rechercher :
- des connexions réussies anormales sur le système d’information depuis la machine infectée, avec les comptes utilisés sur la machine infectée ;
- les tentatives d’accès échouées depuis la machine et/ou avec les comptes qui y ont été utilisés ;
- des connexions anormales vers Internet (domaine/protocole) depuis la machine infectée.
- Rechercher dans les alertes antivirales les signes d’implantation de maliciels sur des machines autres que celle initialement identifiée. La recherche d’alerte antivirale ne doit pas être uniquement focalisée sur les codes malveillants concernés par le démantèlement, car non seulement ils ont pour objectif de télécharger d’autres codes malveillants tiers (infostealer, RAT, rançongiciel, etc.) mais en plus ils ont pu se supprimer dans la phase de post-compromission pour effacer leurs traces. Aussi, la supervision d’alertes ne peut être que globale.
- Si le ou les comptes compromis étaient privilégiés, il convient de faire effectuer une recherche de compromission en profondeur sur l’ensemble du système d’information. Si ce ou ces comptes disposaient de délégation de droits dans un annuaire Active Directory (AD), il convient de le ou les faire auditer.
- Si ces comptes sont aussi utilisés sur des applications exposées sur Internet (VPN, VDI, Microsoft 365, applications web, etc.) investiguer si des connexions et actions illégitimes ont eu lieu.
Remédiation
- Isoler la machine compromise du système d’information ;
- Si un dépôt de plainte ou des investigations sont envisagés, conserver la machine isolée du système d’information ;
- Remplacer le poste compromis par une machine neuve ou réinstallée ;
- Changer les secrets utilisés sur la machine et ceux associés aux comptes compromis.
Durcissement de la posture de défense
- Prévenir les exécutions depuis des répertoires inscriptibles par les utilisateurs tels que les répertoires temporaires et personnels (en utilisant des composants intégrés à Windows tels que AppLocker, SRP, WDAC, …) ;
- Prévenir les élévations de privilège en ne donnant pas le droit d’« administration locale » du poste de travail à son utilisateur ;
-
Prévenir la latéralisation entre les postes de travail :
- Filtrer les communications directes entre postes de travail (via PVLAN, pare-feu local Windows, règles de VPN…),
- Configurer LAPS sur les postes de travail pour rendre unique le mot de passe du compte administrateur local ;
- Filtrer les mails et la navigation web des utilisateurs, notamment sur les pièces jointes téléchargées.
-
Supervision renforcée :
- Détecter les exécutions depuis les répertoires inscriptibles par l’utilisateur non privilégié,
- Porter une attention renforcée aux alertes EDR,
- S’assurer de la couverture de déploiement de l’antivirus et/ou de l’EDR et de la mise à jour de leurs définitions antivirales.