Les chercheurs en sécurité Proofpoint viennent de détecter une cyberattaque en France, visant de grandes organisations dans le secteur public, l’immobilier, et le conseil et l’assistance en maîtrise d’œuvre.
À ce stade, l’attaque n’a pas été attribuée à un acteur ou groupe cybercriminel connu, et les motivations exactes restent à confirmer. Mais, d’après les tactiques employées, il s’agit d’une menace avancée et ciblée menée par un acteur de premier plan, et une compromission réussie permettrait de dérober des informations, de prendre le contrôle à distance d’un hôte infecté ou d’installer des charges utiles supplémentaires pour une attaque ultérieure.
Les victimes potentielles dans les organisations visées reçoivent un email piégé contenant le terme ‘CV’ dans l’objet, et prétendant contenir des informations sur le RGPD.
D’un point de vue technique, l’acteur de la menace a utilisé des documents Microsoft Word dotés de macros pour distribuer Chocolatey, un installateur de paquets open-source comprenant une porte dérobée (backdoor).
Les chercheurs Proofpoint ont baptisé cette porte dérobée « Serpent » car certaines parties des macros VBA intègrent de l’art ASCII, une pratique qui consiste à réaliser des images uniquement à l’aide des lettres et caractères spéciaux contenus dans le code ASCII. Dans ce cas, les caractères forment un serpent.
Selon Sherrod DeGrippo, VP menaces émergentes chez Proofpoint : « De manière totalement inédite, il s’agit d’une utilisation détournée de technologies qui sont souvent utilisées légitimement au sein des organisations. Cette nouvelle approche tire parti du désir de nombreuses organisations, en particulier de groupes techniques, de permettre à leurs utilisateurs d’être « autonomes » en ce qui concerne le développement et la gestion de paquets. En outre, l’utilisation de la stéganographie est inhabituelle et peu fréquente. L’utilisation de « Swiper », le personnage espiègle d’un dessin animé pour enfants, ajoute également une certaine personnalité à la menace. Malgré le flou autour des motivations de cette campagne d’attaques, celle-ci est très ciblée sur quelques organisations stratégiques en France, et le malware pourrait être utilisé pour le vol de données ou pour installer des charges utiles ultérieures.«
L’acteur de la menace a également utilisé la stéganographie, une technique qui consiste à dissimuler un message dans un autre, dans ce cas une image de dessin animé, pour télécharger et installer le backdoor Serpent. Il a également utilisé une technique inédite de contournement de la détection en lançant une tâche pré-programmée.
L’attaque étant toujours en cours, Proofpoint recommande aux organisations françaises de vérifier qu’elles ne sont pas ciblées en s’appuyant sur les indicateurs de compromission dévoilés dans le cadre de la recherche, et le cas échéant de prévenir rapidement les autorités compétentes. Proofpoint rappelle par ailleurs l’importance de former en continu les employés à détecter et signaler des tentatives de phishing visant leur messagerie professionnelle, car elles pourraient fortement compromettre leur organisation.