Proofpoint décortique une cyberattaque visant des groupes de BTP français
Si ces derniers temps, les groupes cybercriminels revendiquent volontiers leurs attaques, parfois les objectifs sont moins clairs. Dans un post de blog, la société de cybersécurité Proofpoint alerte sur une campagne d’attaques malveillantes ayant visé des organisations françaises dans le secteur du BTP et au sein de l’administration française.
Baptisée « Serpent », le groupe cherche tout d’abord à compromettre des machines chez ses cibles par l’envoi d’un e-mail piégé prenant l’apparence d’une fausse candidature contenant un CV en pièce jointe. La pièce jointe contient un document Word qui prend le prétexte du RGPD (Règlement général sur la protection des données) pour demander à l’utilisateur d’activer les macros. Si celles-ci s’exécutent, le document va alors télécharger un script Powershell dissimulé dans une image, une technique connue sous le nom de « stéganographie ». Cette technique consiste à dissimuler du code potentiellement malveillant dans le code d’une image et permet neutralement de tromper la vigilance des outils de sécurité.
Des serpents et des renards
Ce script télécharge et installe le logiciel Chocolatey, un utilitaire de gestion des fichiers qui permet de créer des paquets contenant les installateurs pour différents programmes.
Selon Proofpoint, le recours à cet utilitaire pourrait être un moyen de contourner les outils de détection et de protection mis en place par la victime, Chocolatey étant un utilitaire légitime dont l’usage ne lève pas automatiquement d’alerte. Celui-ci est utilisé pour installer Python, puis pour télécharger un nouveau script Python, là aussi dissimulé dans une image grâce à la technique stéganographique, qui contient la porte dérobée « Serpent ». Parmi les images utilisées pour dissimuler les scripts malveillants, on retrouve notamment une image de Chipeur, le renard voleur de la série Dora l’exploratrice.
Cette porte dérobée se charge ensuite de vérifier régulièrement les serveurs de commande. Proofpoint indique avoir identifié deux noms de domaine en onion.pet utilisés par la porte dérobée pour récupérer les commandes envoyées par les attaquants et pour envoyer les données récupérées par la porte dérobée sur la machine infectée.
Menace sophistiquée
Du point de vue de Proofpoint, ce groupe d’attaquants tombe dans la catégorie des menaces sophistiquées. « L’utilisation de la stéganographie dans les charges utiles est unique ; Proofpoint observe rarement l’utilisation de la stéganographie dans les campagnes », indiquent les chercheurs de la société.
D’autres aspects techniques de la campagne sont également uniques, tandis que l’objectif final des attaquants n’est pas apparent. « Une compromission réussie permettrait à un acteur malveillant de mener diverses activités, notamment le vol d’informations, l’obtention du contrôle d’un hôte infecté ou l’installation de charges utiles supplémentaires », indiquent les chercheurs de Proofpoint. En l’absence de plus de détails, Proofpoint se refuse à associer les campagnes détectées avec d’autres groupes malveillants connus.
