Le groupe de cybercriminels à l’origine de la fameuse campagne de malware “DNSpionage” a commencé à travailler avec de nouveaux outils et logiciels malveillants pour mieux cibler l’attaquant et dissimuler ses activités.
Découvertes pour la première fois en novembre dernier, les attaques DNSpionage ont utilisé des sites compromis et créé des documents malveillants pour infecter les ordinateurs des victimes avec DNSpionage, un outil d’administration à distance personnalisé qui utilise les communications HTTP et DNS pour communiquer avec le serveur de contrôle des attaquants. Selon une étude récemment publiée, menée par le groupe de sécurité Cisco Talos, les actions de ces mystérieux individus menacent de compromettre les systèmes qui maintiennent le fonctionnement normal du Web dans le monde entier.
Selon un nouveau rapport publié par l’équipe de recherche sur les menaces de Cisco Talos, le groupe a adopté de nouvelles tactiques, techniques et procédures pour améliorer l’efficacité de leurs opérations, en rendant leurs cyberattaques plus ciblées, organisées et sophistiquées. Contrairement aux campagnes précédentes, les attaquants ont commencé à mener des enquêtes sur leurs victimes avant de les infecter avec un nouveau malware, surnommé Karkoff, leur permettant de sélectionner de manière sélective les cibles à infecter afin de ne pas être détectées.
Karkoff
Les chercheurs de Talos disent qu’une phase d’exploration a maintenant été ajoutée pour s’assurer que la charge utile est fournie à des cibles spécifiques plutôt que de la télécharger sans ménagement sur toutes les machines possibles. L’attaque renvoie également des informations sur le poste de travail, notamment des informations spécifiques à la plate-forme, le nom de domaine et l’ordinateur local, ainsi que des informations sur le système d’exploitation. Il s’agit d’informations importantes pour le choix des victimes et le contournement des enquêteurs ou des sandbox.
Les empreintes digitales des victimes montrent que les fabricants développent leurs techniques d’attaque. Cette nouvelle tactique montre que l’attaquant est plus prudent, probablement en réponse à l’attention portée au DNSpionage. Talos note que plusieurs articles ont été publiés sur les attaques d’espionnage dans le DNS. En janvier, le département américain de la Sécurité intérieure a lancé un avertissement concernant cette menace.
Développé en .NET, Karkoff permet aux attaquants d’exécuter du code arbitraire sur les hôtes distants compromis de leur serveur C & C. Cisco Talos a identifié Karkoff comme un malware non documenté plus tôt ce mois-ci. La chose intéressante est que le malware Karkoff génère un fichier journal sur les systèmes des victimes qui contient une liste de toutes les commandes qu’il a exécutées avec un horodatage. En plus d’utiliser un logiciel anti-virus fiable ou de décider d’utiliser des solutions intelligentes et de confier votre sécurité informatique à un SOC, vous devez rester vigilant et vous tenir au courant des techniques d’ingénierie sociale afin de réduire le risque d’être victime de telles attaques informatiques.
Sea Turtle
Talos fait la distinction entre l’espionnage DNS et une autre technique d’attaque DNS appelée Sea Turtle. Ce sont des pirates informatiques qui abusent du DNS pour détourner des informations d’identification et accéder aux systèmes de manière à ce que la victime ne puisse pas le détecter. Cela montre que l’attaquant a une connaissance unique de la manipulation du DNS, explique Talos.
En prenant le contrôle du DNS de la victime, les attaquants peuvent modifier ou falsifier de manière secrète les données reçues par les utilisateurs sur Internet pour faire référence à des serveurs gérés par nom de serveurs à des serveurs sous le contrôle de l’attaquant.
“Bien que cet incident se limite principalement aux services de sécurité nationaux au Moyen-Orient et en Afrique du Nord, nous ne devons pas sous-estimer les conséquences de cette campagne. Nous craignons que le succès de cette opération ne conduise davantage d’acteurs à l’échelle mondiale à attaquer le système DNS. ” déclare Talos.
En raison de nombreux rapports publics faisant état d’attaques par piratage de DNS, le département américain de la Sécurité intérieure a publié une “directive d’urgence” plus tôt cette année à toutes les agences fédérales ayant commandé du personnel informatique à vérifier les enregistrements DNS pour les domaines respectifs du site Web ou d’autres agences gérées par le domaine.