Cannon, le nouveau cheval de Troie d’APT 28

Selon la division Unit 42 de Palo Alto, une campagne contre plusieurs entités gouvernementales à travers le monde déferle depuis fin octobre. Les chercheurs l’attribuent au groupe Sofacy, aussi connu sous le nom de Fancy Bear, Sednit ou APT28.

Unit 42 a été en mesure de récupérer deux charges utiles employées dans l’attaque. La première étape utilise le célèbre cheval de Troie Zebrocy, et la seconde étape déploie un nouveau programme malveillant baptisé Cannon.

Selon une autre étude menée par ESET, le groupe utilise principalement l’hameçonnage par email comme mode d’infection, avec pour sujet le crash du Boeing 737 Lion Air survenu le 29 octobre dernier. Les courriels sont envoyés via trois comptes hébergés chez un fournisseur de service tchèque, appelé Seznam. L’attaque utilise le courrier électronique comme canal de communication C2 en ajoutant une couche de chiffrement aux protocoles SMTPS et POP3. Cela réduit considérablement les risques de détection puisque l’envoi de mails via des fournisseurs de messagerie non agréés ne traduit pas nécessairement une activité suspecte.

La victime reçoit une archive en pièce jointe du courriel, contenant deux fichiers, un document bénin et un exécutable. Lorsque l’utilisateur ouvre le document malveillant, Microsoft Word tente immédiatement de charger le modèle distant contenant une charge utile. Dans le cas où le C2 est opérationnel, il charge le modèle qui installe alors une charge utile. Cependant, Word n’exécutera pas complètement le code malveillant tant que l’utilisateur n’aura pas fermé le document. Selon Unit 42, cette méthode utilise la fonction AutoClose qui permet à Word de retarder l’exécution complète du code. Il s’agit d’une méthode peu courante afin de compliquer l’analyse et la détection de la charge utile.

La charge utile déployée inclut la persistance sur le système, la création d’un identifiant système unique, la collecte d’informations système, la capture d’instantanés et la connexion au compte de messagerie POP3 afin d’accéder aux pièces jointes.

La campagne vise principalement des organisations gouvernementales en Amérique du Nord, en Europe et dans les anciens pays soviétiques. Étant donné qu’elle utilise des modèles distants, l’attaque repose sur la disponibilité du serveur C2. Si le serveur n’est pas en ligne lors de l’exécution de la macro, aucun dommage ne sera causé.

Référence

Image de couverture par Bleepstatic.com