IAmTheKing : qui se cache derrière le malware SlothfulMedia ?

0
118

Kaspersky délivre son analyse sur une nouvelle génération de malwares appelée SlothfulMedia identifié en juin 2018 et baptisé “IAmTheKing”. Les  chercheurs français du GReAT ont notamment identifié que le groupe était sponsorisé par un État et avait pour objectif principal de collecter des renseignements sur des entités publiques et/ou sensibles notamment en Russie.

Tribune – Au début du mois d’octobre 2020, le CISA (Cybersecurity and Infrastructure Security Agency) a publié des informations relatives à une nouvelle génération de malwares appelée SlothfulMedia. Un examen minutieux du rapport a permis de constater que Kaspersky avait identifié ce groupe et ses activités en juin 2018 et l’avait baptisé “IAmTheKing”. En s’appuyant sur ses activités, les chercheurs français du GReAT ont identifié que le groupe était sponsorisé par un État et avait pour objectif principal de collecter des renseignements sur des entités publiques et/ou sensibles notamment en Russie.

Si le public n’a été que récemment sensibilisé à cet éventail d’activités, IAmTheKing est très actif depuis quelques années. Ce groupe utilise un ensemble d’outils en constante évolution et est devenu expert dans les méthodes traditionnelles de tests de pénétration ainsi que de Powershell, un outil d’automatisation des tâches et de gestion de la configuration.

Ces dernières années, les chercheurs de Kaspersky ont découvert trois typologies de malwares nommés : KingOfHearts, QueenOfHearts et QueenOfClubs développés par le même auteur, SlothfulMedia alias IAmTheKing. Ces trois types de malwares sont des programmes “backdoors”, c’est-à-dire des programmes qui accèdent à distance à l’appareil infecté par des portes dérobées. Cependant, ces malwares sont également complétés par toute une palette d’outils avec notamment un vaste arsenal de scripts Powershell, un dropper JackOfHearts et un utilitaire de capture d’écran.

Utilisant principalement des techniques de spear phishing, les attaquants ont infecté les appareils grâce aux malwares et ont ensuite exploité des programmes de test de vulnérabilité réputés pour compromettre d’autres machines sur le réseau.

Une mise au jour d’IAmTheKing, pour favoriser la collaboration internationale contre le déploiement de sa boîte à outils à plus grande échelle

Jusqu’à présent, IAmTheKing se contentait de collecter des renseignements issus d’entités russes publiques telles que des organismes gouvernementaux et des entreprises de défense, des agences publiques de développement, des universités et des entreprises énergétiques. Cependant, depuis le début de l’année 2020, Kaspersky a découvert d’autres incidents encore rares impliquant IAmTheKing dans les pays d’Asie centrale et d’Europe de l’Est. Le CISA a également signalé des activités en Ukraine et en Malaisie. Il reste à définir si le changement de lieu d’intervention révèle un changement de stratégie ou si désormais les malwares sont utilisés par d’autres cyberattaquants.

« IAmTheKing opère depuis quelques années maintenant et son champ d’activité est très spécifique, alors que son outillage, bien que bien développé, n’est pas techniquement remarquable. Les révélations sur ce nouvel acteur vont permettre à d’autres cyberattaquants de se pencher sur les outils utilisés. Afin d’encourager la coopération de la communauté cyber, nous avons fait le choix de partager les données que nous avons recueillies. Il est important de noter, cependant, que maintenant que IAmTheKing est devenu public, il pourrait essayer d’adapter et d’améliorer davantage son ensemble d’outils. Nous continuerons à enquêter sur cet acteur et à partager des informations sur son activité avec nos clients », commente Ivan Kwiatkowski, chercheur en sécurité au sein de l’équipe de recherche et d’analyse globale (GReAT) de Kaspersky.

Pour en savoir plus sur les outils de l’IAmTheKing, consultez la page Securelist. Pour se protéger des menaces, telles que le malware IAmTheKing, Kaspersky recommande les conseils suivants :

  • Tracer les menaces en utilisant les règles de YARA. Pour en savoir plus sur la chasse aux menaces avec YARA
  • Donner à l’équipe SOC l’accès aux dernières informations sur les menaces (Threat Intelligence). Le portail Kaspersky Threat Intelligence Portal est un point d’accès unique pour les équipes informatiques, fournissant des données et des informations sur les cyberattaques recueillies par Kaspersky depuis plus de 20 ans.
  • Mettre en place de solutions EDR pour la détection aux points d’entrée ainsi que l’analyse et la résolution rapide des incidents. Il est capable de détecter les attaques qui exploitent des logiciels légitimes.
  • Mettre en œuvre une solution de sécurité de niveau entreprise en plus d’adopter une protection essentielle aux points d’entrée. Cela permet de détecter à un stade précoce les menaces avancées au niveau du réseau.