Malware FINSPY – La faille Zero Day CVE-2017-0199 serait utilisée depuis janvier 2017

1
124

Selon FireEye,la faille Zero Day CVE-2017-0199 est utilisée depuis Janvier 2017 pour distribuer le malware d’espionnage FINSPY et le malware dédié au cybercrime LATENTBOT.

Tribune – FireEye a récemment identifié une faille – CVE-2017-0199 – qui permet à un acteur malveillant de télécharger et d’exécuter un script Visual Basic contenant des commandes PowerShell lorsqu’un utilisateur ouvre un document RTF Microsoft Office contenant un ‘exploit’ embarqué. FireEye a travaillé avec Microsoft et publié les détails techniques de cette faille dès qu’un patch a été rendu disponible.

Sont décrites ci-après quelques-unes des campagnes malveillantes observées par FireEye exploitant la faille zero-day CVE-2017-0199 dans les jours, les semaines et les mois qui ont précédé la publication du patch.

CVE-2017-0199 utilisée par de multiples acteurs

FireEye estime avec un niveau de confiance classé moyen que CVE-2017-0199 a été exploitée par des acteurs financièrement motivés et par des états nations avant sa divulgation. Des acteurs exploitant FINSPY et LATENTBOT ont utilisé la faille zero day dès janvier et mars 2017, et des similarités dans leur mise en œuvre suggèrent qu’ils ont obtenu le code de l’exploit à partir d’une source partagée. Une activité DRIDEX récente a débuté à la suite d’une divulgation de la faille le 7 avril 2017.

Le malware FINSPY utilisé pour cibler des victimes de langue russe

Dès le 25 janvier 2017, des documents leurres référençant un décret du Ministère de la Défense russe et un manuel prétendument publié dans la « République Populaire du Donetsk » a exploité la faille CVE-2017-0199 pour délivrer des malwares FINSPY. Bien que nous n’ayons pas identifié les cibles, FINSPY est vendu par Gamma Group à de multiples états nations, et nous estimons avec un niveau de confiance classé moyen qu’il est utilisé conjointement avec la faille zero day pour mener à bien du cyberespionnage.

Le document malicieux est une version malveillante d’un manuel d’entrainement militaire largement diffusé. En particulier, cette version prétend avoir été publiée dans la « République Populaire du Donetsk », nom donné à un territoire contrôlé par des rebelles pro-russes dans l’est de l’Ukraine.

Le document malicieux initial a téléchargé d’autres éléments, dont un malware et un document leurre provenant de l’adresse 95.141.38.110. Ce site était ouvert et indexé pour permettre la récupération de contenus leurres supplémentaires, dont un supposé être un décret du Ministère de la Défense russe approuvé un plan de gestion forestière.

Selon un rapport de CitizenLab en 2015, Gamma Group vend ses logiciels sous licence à ses clients et chacun d’entre eux utilise une infrastructure unique, ce qui rend probable le fait que les deux documents aient été utilisés par le même client.

Le malware FINSPY est vendu par Gamma Group, une société « d’interception légale » anglo allemande. Gamma Group travaille pour le compte de nombreux états nations, ce qui limite la possibilité d’identifier le véritable donneur d’ordre de l’activité. Le malware FINSPY était fortement camouflé, empêchant l’extraction des informations de commande et de contrôle (C2).

CVE-2017-0199 utilisée pour distribuer LATENTBOT

Dès le 4 mars 2017, des documents malicieux exploitant CVE-2017-0199 ont été utilisés pour délivrer le malware LATENTBOT. Le malware, qui possède une capacité de vol d’identités, n’a depuis lors été observé par FireEye iSIGHT Intelligence que par des acteurs de menace à motivation financière. De plus, les leurres génériques utilisés dans cette campagne récente sont cohérents avec les méthodes employées par des attaquants à motivation financière.

LATENTBOT est un type de malware modulaire et extrêmement camouflé qui a été découvert pour la première fois par FireEye iSIGHT Intelligence en décembre 2015. Il possède une variété de capacités, dont le vol d’identités, l’effacement de disque dur et de données, la désactivation de logiciel de sécurité, et l’accès à distance du poste de travail. Récemment, nous avons identifié des campagnes LATENTBOT utilisant Microsoft Word Intruder (MWI).

Les documents leurre distribuant le malware LATENTBOT utilisent des méthodes de manipulation génériques, de type document.doc ou hire_form.doc.

Des échantillons de FINSPY et de LATENTBOT partagent la même origine

Des artéfacts partagés dans les échantillons de FINSPY et de LATENTBOT suggèrent que le même assembleur a été utilisé pour créer les deux, ce qui indique que l’exploit zero day a été fourni à la fois pour des opérations criminelles et de cyber espionnage en provenance de la même source.

Des campagnes de spam DRIDEX juste après la divulgation de CVE-2017-0199

A la suite de la divulgation des caractéristiques de la faille zero-day le 7 avril 2017, celle-ci a été utilisée dans des campagnes de spam DRIDEX, qui continuent encore à ce jour. Nous ne pouvons confirmer le mécanisme par lequel les acteurs ont obtenu l’exploit. Ces acteurs peuvent avoir exploité les connaissances sur la faille obtenues dans les termes de la divulgation, ou y avoir eu accès lorsqu’il est devenu clair que la diffusion d’un patch était imminent.

Une campagne de spams a été diffusée le 10 avril 2017, exploitant un leurre « Scan Data. » Le document en attachement exploitait CVE-2017-0199 pour installer DRIDEX sur l’ordinateur de la victime.

Perspectives et implications

Même si un seul utilisateur de FINSPY a été observé exploitant cet exploit zero day, la portée historique de ce malware, dont les capacités ont été utilisées par plusieurs états nations, suggère que d’autres clients y ont eu accès. De plus, cet incident confirme la nature globale des cyber menaces et l’intérêt de disposer d’une perspective mondiale – un incident de cyberespionnage ciblant des russes peut fournir l’occasion d’en savoir plus et d’interdire des activités criminelles visant des individus parlant une autre langue ailleurs.

Les commentaires sont fermés.