ElderWood : Un kit d’exploitation pirate en vogue dans l’underground

3
103

ElderWood est le nom donné à un kit d’exploitation pirate (ou Exploit Kit) qui a actuellement le vent en poupe sur le BlackMarket. Il aurait été employé dans les dernières cyberattaques et se retrouve pointé du doigt par les professionnels de la sécurité.

La plateforme Elderwood est particulièrement bien réalisée et efficace, ses exploits sont soigneusement séparés de la charge utile qui permet de pirater des sites, serveurs ou machines en ligne. Dans les dernières attaques observées, un modèle de répétition orchestré par les groupes pirates a été repéré et identifié : il s’agit de cybercriminels utilisant des exploits 0-Day ciblant Internet Explorer et Flash Player, et qui portent tous la même signature, la même méthode et les mêmes vulnérabilités.

Cela implique donc qu’il existe un certain niveau de communication entre les groupes qui sévissent sur la Toile à grande échelle. Pour Symantec, le créateur de Elderwood est très certainement un fournisseur tiers, mais il pourrait aussi être une organisation majeure spécialisée dans le cybercrime et possédant ses propres équipes. Une chose est cependant certaine : les différents groupes exploitant les le kit Elderwood ont l’argent et la motivation et présentent une menace sérieuse pour les cibles potentielles.

Ces derniers mois, quatre groupes de pirates informatiques ont été identifiés comme utilisant le fameux outil :

  • Hidden Lynx qui s’est attaqué à l’industrie de la défense dans une opération baptisée Snowman. Ils ont surtout exploité le malware ZX Shell via la faille Internet Explorer (CVE-2014-0322).
  • Vid grab Team qui s’est attaqué aux internautes japonais et aux dissidents Ouïghours. Ils ont été classifiés après la découverte de la backdoor éponyme, ainsi que la porte cachée du nom de Jolob. La première backdoor exploitait un 0day Internet Explorer (CVE-2014-0322), la seconde, une vulnérabilité Flash (Adobe – Adobe Flash).
  • Icefog qui s’est attaqué à des centaines d’entreprises manufacturières pour voler des bases de données. Les pirates informatiques de cette bande ont exploité des 0day pour les produits Adobe et Microsoft : CVE-2012-0779  ; CVE-2014-0324 via les backdoors Linfo et Hormesu.
  • Sakurel qui s’est attaqué, via quatre 0-Day IE et Flash, à des fabricants de moteurs de fusée (missile et aérospatial). Cela laisse penser que la Corée du Nord, La Russie, l’Inde ou encore la Chine sont les points de rapatriement des informations collectées.

 

 

Source : Zataz

Les commentaires sont fermés.