S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 30 mai 2024
N° CERTFR-2024-CTI-004
Affaire suivie par: CERT-FR

Rapport menaces et incidents du CERT-FR

Objet: Opération ENDGAME

Gestion du document

Référence CERTFR-2024-CTI-004
Titre Opération ENDGAME
Date de la première version 30 mai 2024
Date de la dernière version 30 mai 2024
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Entre le 27 et le 29 mai 2024, une opération de démantèlement de plusieurs infrastructures liées à des codes cybercriminels a été menée dans le cadre d’une coopération judiciaire internationale impliquant les autorités allemandes, néerlandaises, danoises, françaises, britanniques et américaines. Cette opération nommée ENDGAME est dans la continuité de l’opération de démantèlement du botnet Qakbot lancée par les États-Unis en août 2023. 

Davantage d’informations sur l’opération sont disponibles dans les communiqués du parquet du Tribunal judiciaire de Paris, d’Eurojust et Europol, de l’Allemagne, des Pays-Bas, du Danemark, du Royaume-Uni et des États-Unis. Dans le cadre de cette opération, l’ANSSI apporte son soutien pour l’identification et la notification des victimes.

Les codes malveillants concernés (BumbleBee, IcedID, Pikabot, SmokeLoader et SystemBC) peuvent servir de point d’entrée sur le système d’information des victimes pour déployer d’autres codes malveillants, comme des outils génériques offensifs (Cobalt Strike, Meterpreter, Sliver, BruteRatel) mais surtout des rançongiciels parmi lesquels Akira, Conti, Royal, BlackBasta ou encore Nokoyawa. Pour cette raison, il est particulièrement important de procéder à des investigations complémentaires sur les systèmes d’information dont une machine a été infectée, à la recherche de traces de latéralisation ou d’autres outils malveillants.

BumbleBee

Actif depuis mars 2022, BumbleBee est un chargeur malveillant (loader) utilisé par des acteurs cybercriminels pour obtenir un premier accès dans les systèmes d’information des victimes et déployer par la suite une ou plusieurs charges supplémentaires.

Ce maliciel est utilisé comme point d’entrée pour déployer des codes malveillants tiers comme des outils génériques offensifs (Cobalt Strike, Sliver et Meterpreter notamment) et des rançongiciels (Conti, Quantum, MountLocker, Diavol, Akira).

BumbleBee est généralement distribué par le biais de campagnes d’hameçonnage reposant notamment sur la technique de l’«email thread hijacking », qui consiste à reprendre des fils de discussion existants dans des messageries compromises pour distribuer le code malveillant. Des distributions via des sites et publicités malveillants (téléchargement de faux logiciels imitant Zoom, Cisco AnyConnect, ChatGPT, Citrix Workspace) ont également été constatées. Enfin, BumbleBee peut être déployé par d’autres codes malveillants, tels que Emotet ou Raspberry Robin.

Références :

IcedID

Actif depuis 2017, IcedID est à l’origine un cheval de Troie bancaire, c’est-à-dire un programme malveillant utilisé pour dérober des informations bancaires sur le navigateur de la victime puis effectuer des virements frauduleux.

Aujourd’hui, IcedID est prisé par les cybercriminels pour récupérer des authentifiants et obtenir des accès persistants sur le système d’information des victimes. Son architecture modulaire lui permet également de servir de point d’entrée pour déployer des codes malveillants tiers comme des outils génériques offensifs tels que Cobalt Strike et des rançongiciels (BlackBasta, Nokoyawa, Dagon Locker entre autres).

Le vecteur de diffusion de IcedID varie selon l’attaquant. Il peut être déployé par un autre code malveillant qui aurait compromis en amont la machine ou être distribué par le biais de campagnes d’hameçonnage ou de publicités malveillantes.

Références :

Pikabot

Actif depuis 2023, Pikabot est un code malveillant utilisé par des acteurs cybercriminels pour avoir un premier accès dans les systèmes d’information des victimes afin de déployer par la suite une ou plusieurs charges supplémentaires.

Ce maliciel est utilisé comme point d’entrée sur le réseau des victimes pour déployer des codes malveillants comme des outils génériques offensifs (Cobalt Strike, Meterpreter), d’autres codes malveillants (IcedID, Meduza Stealer) et des rançongiciels (BlackBasta).

Pikabot est généralement distribué par courriel d’hameçonnage contenant un lien malveillant. Des distributions par publicités malveillantes ont également été constatées, imitant notamment de fausses annonces de téléchargement de la solution AnyDesk.

Références :

SmokeLoader

Actif depuis 2011, SmokeLoader est un code malveillant modulaire utilisé par les cybercriminels pour effectuer des actions de reconnaissance sur la machine de la victime et y installer des codes ou accès persistants. Vendu sur plusieurs plateformes cybercriminelles comme service à la demande, il est utilisé par différents groupes et acteurs distincts aux objectifs variés : déploiement de rançongiciel, revente d’accès compromis, virements frauduleux.

SmokeLoader est principalement utilisé comme chargeur de première étape pour distribuer des codes malveillants tiers comme des voleurs d’informations (ou infostealers, comme Raccoon Stealer), des portes dérobées (SystemBC), d’autres loaders (Amadey Loader, Danabot, IcedID) ou des rançongiciels (8Base, Phobos)

SmokeLoader est généralement distribué par le biais de campagnes de spams ou d’hameçonnage ciblées qui contiennent des documents Word ou PDF malveillants.

Références :

SystemBC

Identifié en 2018, SystemBC est un code malveillant d’accès à distance permettant de transformer la machine infectée en proxy SOCKS. Cette fonctionnalité permet à l’attaquant de relayer son trafic via un tunnel SOCKS entre le serveur de commande et de contrôle et le système d’information de la victime.

Depuis 2020, SystemBC a évolué pour permettre à l’opérateur de télécharger puis exécuter depuis les machines compromises d’autres codes malveillants. Ce code malveillant est ainsi utilisé lors de nombreuses campagnes cybercriminelles pour déployer, entre autres, des rançongiciels tels que Ryuk, Egregor, BlackBasta, Rhysida, AlphV ou Phobos.

SystemBC est promu sur différents forums cybercriminels et disponible à l’achat sur une plateforme accessible en source ouverte.

La distribution des implants SystemBC est effectuée par le biais d’autres outils comme Cobalt Strike ou des codes malveillants comme Emotet, SmokeLoader ou DarkGate, qui ont été utilisés pour compromettre la machine de la victime au préalable.

Références :

Recommandations

Qualifier l’infection

  • Identifier la machine, poste de travail ou serveur, concerné(e) ;
  • Vérifier qu’elle était bien active dans la période signalée ;
  • En cas de doute, considérer le poste comme infecté ;
  • Inventorier les secrets et comptes utilisés sur la machine concernée ainsi que leurs droits dans le système d’information (permissions Active Directory notablement).

Recherche de compromission

  1. Utiliser les moyens de supervision du système d’information pour rechercher :
  • des connexions réussies anormales sur le système d’information depuis la machine infectée, avec les comptes utilisés sur la machine infectée ;
  • les tentatives d’accès échouées depuis la machine et/ou avec les comptes qui y ont été utilisés ;
  • des connexions anormales vers Internet (domaine/protocole) depuis la machine infectée.
  1. Rechercher dans les alertes antivirales les signes d’implantation de maliciels sur des machines autres que celle initialement identifiée. La recherche d’alerte antivirale ne doit pas être uniquement focalisée sur les codes malveillants concernés par le démantèlement, car non seulement ils ont pour objectif de télécharger d’autres codes malveillants tiers (infostealer, RAT, rançongiciel, etc.) mais en plus ils ont pu se supprimer dans la phase de post-compromission pour effacer leurs traces. Aussi, la supervision d’alertes ne peut être que globale.
  2. Si le ou les comptes compromis étaient privilégiés, il convient de faire effectuer une recherche de compromission en profondeur sur l’ensemble du système d’information. Si ce ou ces comptes disposaient de délégation de droits dans un annuaire Active Directory (AD), il convient de le ou les faire auditer.
  3. Si ces comptes sont aussi utilisés sur des applications exposées sur Internet (VPN, VDI, Microsoft 365, applications web, etc.) investiguer si des connexions et actions illégitimes ont eu lieu.

Remédiation

  • Isoler la machine compromise du système d’information ;
  • Si un dépôt de plainte ou des investigations sont envisagés, conserver la machine isolée du système d’information ;
  • Remplacer le poste compromis par une machine neuve ou réinstallée ;
  • Changer les secrets utilisés sur la machine et ceux associés aux comptes compromis.

Durcissement de la posture de défense

  • Prévenir les exécutions depuis des répertoires inscriptibles par les utilisateurs tels que les répertoires temporaires et personnels (en utilisant des composants intégrés à Windows tels que AppLocker, SRP, WDAC, …) ;
  • Prévenir les élévations de privilège en ne donnant pas le droit d’« administration locale » du poste de travail à son utilisateur ;
  • Prévenir la latéralisation entre les postes de travail :
    • Filtrer les communications directes entre postes de travail (via PVLAN, pare-feu local Windows, règles de VPN…),
    • Configurer LAPS sur les postes de travail pour rendre unique le mot de passe du compte administrateur local ;
  • Filtrer les mails et la navigation web des utilisateurs, notamment sur les pièces jointes téléchargées.
  • Supervision renforcée :
    • Détecter les exécutions depuis les répertoires inscriptibles par l’utilisateur non privilégié,
    • Porter une attention renforcée aux alertes EDR,
    • S’assurer de la couverture de déploiement de l’antivirus et/ou de l’EDR et de la mise à jour de leurs définitions antivirales.

Gestion détaillée du document

    le 30 mai 2024
    Version initiale