Le monde vit actuellement une situation exceptionnelle en raison de l’actuelle pandémie de coronavirus Covid-19. Pour tenter d’arrêter la propagation du virus, un grand nombre d’entreprises dans le monde entier ont mis en place un nouveau régime de télétravail. Cette situation a considérablement augmenté la surface d’attaque, ce qui représente un grand défi pour les entreprises en matière de cybersécurité, car elles doivent établir des protocoles et suivre une série de mesures pour garantir le bon fonctionnement de leur activité et de leurs systèmes informatiques.

Toutefois, l’augmentation de la surface d’attaque n’est pas le seul cyber-risque apparu ces derniers jours ; de nombreux cybercriminels profitent activement de l’incertitude mondiale pour mener des campagnes de phishing, diffuser des logiciels malveillants et menacer la cybersécurité de nombreuses entreprises.

Un APT exploite la pandémie

Vers la fin de la semaine dernière, un groupe de cybercriminels, appelé « Vicious Panda », a été identifié en train de mener une campagne de hameçonnage (spear phishing) qui exploitait la pandémie pour répandre ses logiciels malveillants. Les courriels prétendent contenir des informations sur le coronavirus, mais contiennent en fait deux fichiers RTF (Rich Text Format) malveillants. Si la victime ouvre ces fichiers, un RAT (Remote Access Trojan) est lancé, qui est capable de faire des captures d’écran, de créer des listes de fichiers et de répertoires sur l’ordinateur de la victime, ainsi que de télécharger des fichiers, entre autres capacités.

Jusqu’à présent, la campagne a été observé alors qu’elle visait des entités du secteur public de la Mongolie, et il semblerait que ce soit la dernière attaque en date d’une opération chinoise actuellement en cours contre divers gouvernements et organisations dans le monde. Cette fois, la particularité de la campagne est d’utiliser la nouvelle situation mondiale pour tenter d’infecter ses victimes.

Le courriel est conçu pour donner l’impression qu’il provient du ministère mongol des affaires étrangères et prétend contenir des informations sur le nombre de personnes infectées par le virus. Pour armer ce fichier, les attaquants ont utilisé RoyalRoad, un outil populaire parmi les protagonistes de la menace chinoise, qui leur permet de créer des documents personnalisés avec des objets intégrés, qui peuvent exploiter des vulnérabilités présentes dans Equation Editor, l’outil utilisé pour créer des équations complexes dans Word.

Des techniques pour gagner en persistance

Une fois que la victime ouvre les fichiers RTF malveillants, une vulnérabilité dans Microsoft Word est exploitée pour télécharger un fichier malveillant (intel.wll) dans le dossier de démarrage de Word (%APPDATA%\Microsoft\Word\STARTUP). Grâce à cette technique, non seulement ils gagnent en persistance, mais ils empêchent également la détonation de toute la chaîne d’infection si cette dernière est exécutée dans un bac à sable, puisque Word doit être relancé pour que le logiciel malveillant fonctionne pleinement.

Le fichier intel.wll télécharge ensuite un fichier DLL, qui est utilisé pour télécharger le malware et pour communiquer avec le serveur C&C du cyber-attaquant. Le chapeau noir ne fait fonctionner le serveur C&C que pendant une période limitée chaque jour, ce qui rend plus difficile l’analyse et l’accès aux parties les plus avancées de la chaîne d’infection.

Malgré cela, les chercheurs ont pu constater que la première étape de cette chaîne télécharge et décrypte le RAT dès qu’elle reçoit la commande, et télécharge également la DLL, qui est chargée en mémoire. L’architecture, qui est similaire à un plugin, suggère qu’il existe d’autres modules, en plus de la charge utile observée dans cette campagne.

Les mesures de protection contre ce nouvel APT

Cette campagne de logiciels malveillants comporte de nombreuses astuces pour s’introduire dans les systèmes de ses victimes et mettre en danger leur cybersécurité une fois qu’elle est installée. Pour se protéger contre de telles campagnes, il est important de suivre une série de mesures.

La première d’entre elles est extrêmement importante : il est vital d’être prudent lors de la réception de courriels. Le courrier électronique est l’un des principaux vecteurs d’attaque, et les entreprises ne peuvent s’en passer. Si vous recevez un courriel d’une personne que vous ne connaissez pas, ne l’ouvrez pas et surtout, n’ouvrez aucune pièces jointes et ne cliquez pas sur les liens.

Cette attaque utilise une vulnérabilité dans Word pour opérer. Les vulnérabilités non corrigées sont, de fait, à l’origine de nombreuses cyberattaques, et elles sont également à l’origine d’un grand nombre de violations de données, ainsi que d’autres problèmes de sécurité. C’est pourquoi il est si important d’appliquer les correctifs appropriés le plus rapidement possible.

Pour remédier à ces problèmes, Panda Security dispose d’une solution spécialement conçue pour aider à identifier, gérer et installer les correctifs. Panda Patch Management recherche automatiquement les correctifs nécessaires pour assurer la sécurité des ordinateurs de votre entreprise, en donnant la priorité aux mises à jour les plus urgentes et en programmant leur installation. Les correctifs en attente sont signalés même en cas de détection de tentative d’exploitation ou de logiciels malveillants.

Panda Patch Management lance immédiatement l’installation de ces correctifs, mais il est également possible de les programmer à partir de la console, en isolant l’ordinateur si nécessaire. Vous pouvez ainsi gérer les correctifs et les mises à jour afin de garantir le bon fonctionnement de votre entreprise et la protection de vos actifs. Pour en savoir plus sur Panda Patch Management, cliquez ici.

Cette cyberattaque ne sera malheureusement pas la dernière à profiter de la situation mondiale actuelle pour mettre en péril votre sécurité. Protegez votre organisation en prenant des précautions et en utilisant des solutions de cybersécurité avancées telles que celles fournies par Panda Security.