Thread hijacking : Emotet vise la France
Samedi, le JDD publiait un article faisant état d’une « vaste attaque informatique » ayant visé le tribunal de Paris. On y apprenait que plusieurs magistrats et avocats avaient été visés par des mails frauduleux et qu’une enquête avait été ouverte dès vendredi sur le sujet. Une dépêche AFP publiée dimanche donne plus de détails sur le vecteur de l’attaque : l’avocat Jean Marc Delas expliquait ainsi avoir observé « des courriels de personnes qui ne lui avaient pas envoyé de courriels depuis trois ans, sur des vieux dossiers ». Ces courriels, frauduleux, contenaient un lien vers un logiciel malveillant qui aurait bloqué le poste informatique de l’avocat pendant plusieurs heures. Dimanche, le ministère de l’Intérieur a également indiqué avoir « bloqué l’envoi de pièces jointes en .doc » pour contrer une attaque exploitant des mails frauduleux.
Peu de détails ont été donnés sur le fonctionnement de la charge utile diffusée par ce biais et la DGSI a été chargée d’enquêter sur l’affaire. Mais cette méthode visant à inciter la victime à cliquer sur des emails répondant à un vieux fil de conversation est connue : baptisée Thread hijacking ou encore reply chain attack, elle a été identifiée dés 2017 dans des attaques attribuées à des cybercriminels liés à la Corée du Nord, et plus récemment au sein de l’arsenal du groupe Emotet.
Emotet partout, justice nulle part
Emotet est l’un des malwares connus pour utiliser cette technique : en 2019, plusieurs sociétés de cybersécurité alertaient sur l’utilisation de cette tactique par les opérateurs de ce logiciel malveillant multiusage. C’est ici le premier suspect : dans un article publié hier, leMagIT résumait les suspicions à l’égard de l’implication du groupe.
Le CERT FR a publié hier un bulletin d’alerte au sujet d’Emotet, dont les opérateurs sont identifiés sous le nom de TA542, indiquant que « depuis quelques jours, l’ANSSI constate un ciblage d’entreprises et administrations françaises par le code malveillant Emotet ». Emotet est un malware actif depuis 2014. Celui ci a commencé comme malware bancaire, avant de voir ses fonctionnalités évoluer pour devenir un cheval de Troie modulaire, à l’instar de Dridex. Il est maintenant plus fréquemment utilisé comme distributeur de logiciels malveillants, pour le compte de clients du groupe TA542. Emotet se propage principalement par le biais de mails contenant des pièces jointes piégées Excel ou Word, qui demandent l’activation des macros pour pouvoir infecter l’ordinateur de la cible.
Le CERT ne confirme pas directement un lien avec la vague de piratage qui a visé le secteur de la justice ces derniers jours, mais explique avoir constaté une recrudescence des attaques contre des cibles françaises au second semestre 2020, employant notamment la technique du “Thread Hijacking.”
« Une fois la boîte courriel d’un employé de l’entité victime (ou la boîte courriel générique de l’entité elle-même) compromise, le code malveillant Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces derniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes. » explique ainsi le CERT FR. « Outre cette technique, TA542 construit également des courriels d’hameçonnage sur la base d’informations récupérées lors de la compromission des boîtes courriel, qu’il envoie aux listes de contact exfiltrées, ou usurpent plus simplement l’image d’entités, victimes préalables d’Emotet ou non (sociétés de transport, de télécommunication ou encore institutions financières). »
Emotet et maux de tête
Le bulletin précise néanmoins que « dans tous les cas, il apparaît que les boîtes courriel compromises ne sont pas utilisées pour envoyer des courriels d’hameçonnage mais que ces derniers sont envoyés depuis l’infrastructure des attaquants sur la base d’adresses courriel expéditrices souvent typosquattées. »
Les membres du CERT recommandent plusieurs mesures visant à lutter contre les infections d’Emotet, indiquant notamment que « seule la réinstallation de la machine permet d’assurer l’effacement de l’implant. » Le bulletin renvoie à la documentation existante et au travail du groupe Cryptolaemus, qui surveille et informe sur les activités et évolutions du groupe Emotet depuis plusieurs années.
L’Anssi demande également aux victimes de transmettre à l’agence « les échantillons (.doc et .eml) à votre disposition pour analyse afin d’en déterminer des IoC qui pourront être partagés. » L’agence précise que ces échantillons sont utilisés pour suivre l’évolution de l’infrastructure du groupe Emotet.
Thread hijacking
« Le fait de s’intégrer ainsi au sein d’une conversation déjà existante permet d’avoir une crédibilité maximum auprès de la victime », explique Loïc Guezo, expert en cybersécurité chez Proofpoint. « C’est un procédé connu, le simple prérequis est d’avoir pris la main sur l’un des comptes de messagerie ayant participé à la conversation. »
Pour y parvenir, les attaquants ont l’embarras du choix : on peut tout simplement voler les identifiants de la victime grâce à un phishing mené en amont, ou bien prendre directement le contrôle du poste de travail utilisé pour accéder à la boîte mail via un logiciel malveillant installé sur l’ordinateur. « Dans un cas de figure de ce type, il suffit qu’une des personnes ayant participé à la conversation ait été compromise pour que les attaquants puissent exploiter cet accès pour répondre à un échange de message avec un mail frauduleux, qui peut être utilisé pour diffuser un logiciel malveillant ou rediriger vers un site contrôlé par les attaquants » nous explique Pascal le Digol de Watchguard. « C’est d’ailleurs important de souligner qu’il s’agit ici d’un vecteur d’attaque plus que d’une attaque en soi : le but est souvent de diffuser un logiciel malveillant, dont l’objectif n’a pour l’instant pas été déterminé ».
Il souligne au passage « l’effet domino » de ces techniques: à partir d’une compromission de la boîte mail d’un acteur du monde judiciaire, on peut facilement mettre à profit cet accès pour diffuser des mails malveillants à d’autres et provoquer ainsi des compromissions en cascade.
