Archives par mot-clé : Pakistan

Gorgon Group : Des pirates pakistanais tentent d’infiltrer des institutions étatiques

Des pirates informatiques baptisés Gorgon Group, présumés venir du Pakistan, attaquent des institutions étatiques en Russie, en Espagne et aux États-Unis via des courriels piégés.

Gorgon Group – Le phishing et autres courriels piégés sont légions. Un groupe de pirates informatique présumés pakistanais tente d’attaquer des organisations gouvernementales via ce procédé. Une attaque qui a exploité les mêmes serveurs qui diffusent spams et logiciels malveillants.

Un faux mail sur le terrorisme

Comme rapporté par des chercheurs de l’unité 42 de Palo Alto Networks, le Gorgon Group est actif depuis Février 2018. Via des phishings ciblés, ils ont visé des bureaux gouvernementaux en Espagne, au Royaume-Uni, aux Etats-Unis et en Russie.

Script-kiddies au Pakistan ?

D’abord, les attaquants envoient des mails phishing à leurs victimes sur des questions de terrorisme, ainsi que sur des problèmes militaires et politiques au Pakistan. Les courriels contiennent des documents Microsoft Word. Fichier piégé par l’exploit CVE-2017-0199. Lorsque la victime ouvre le document, un script Visual Basic s’exécute avec des commandes PowerShell. Le pirate n’a plus qu’à installer son logiciel espion dans la machine piégée. Dans le cas du groupe Gorgone, les chevaux de Troie sont : NanoCoreRAT, QuasarRAT ou encore NJRAT.

Pour conclure, le nombre exact d’infections réussies est inconnu. Néanmoins, les chercheurs ont trouvé des preuves que même une campagne avec une infrastructure aussi primitive (script-kiddies ?) peut constituer une menace pour la sécurité des organisations gouvernementales.

Cyber-attaque orientée vers le Pakistan à travers de faux documents PDF

Datasecuritybreach.fr a appris d’ESET, pionnier en matière de sécurité proactive depuis 25 ans, la découverte d’une cyber-attaque ciblée qui tente de voler des informations sensibles provenant de différentes organisations, notamment au Pakistan (avec une portée limitée dans le monde).

Au cours de cette investigation, plusieurs pistes ont été découvertes qui indiquent que la menace est d’origine indienne et qu’elle sévit depuis au moins deux ans. Cette attaque ciblée a utilisé un certificat de signatures de code délivré par une société apparemment légitime qui aurait produit des signatures binaires malveillantes et favorisé leur potentiel de propagation. La société est basée à New Delhi et le certificat a été délivré en 2011. Le malware se diffuse à travers des pièces jointes aux e-mails.

« Nous avons identifié plusieurs documents différents qui évoquent plusieurs thèmes susceptibles d’être attractifs pour les bénéficiaires. L’un d’eux concerne les forces armées indiennes. Nous n’avons pas d’informations précises quant aux personnes ou organisations qui ont été plus particulièrement touchées par ces fichiers, mais sur la base de nos enquêtes, nous formulons l’hypothèse que des personnes et des institutions au Pakistan ont été ciblées », a déclaré à Datasecuritybreach.fr Jean-Ian Boutin, chercheur en malware chez ESET. Par exemple, l’un des fichiers PDF frauduleux a été diffusé par une archive auto-extractible appelée « pakistandefencetoindiantopmiltrysecreat.exe », et le système de supervision d’ESET montre que le Pakistan est fortement affecté par cette campagne avec 79 % des détections repérées dans ce pays.

Le premier vecteur de l’infection exploite une vulnérabilité largement utilisée et connue sous le nom CVE-2012-0158. Cette vulnérabilité peut être exploitée par des documents Microsoft ® Office spécialement conçus qui permettent l’exécution de code arbitraire. Les documents ont été transmis par email et le code malveillant s’exécute dès que le document est ouvert, sans que l’utilisateur de l’ordinateur attaqué s’en aperçoive. L’autre vecteur d’infection s’effectue via les fichiers exécutables Windows qui apparaissent comme des documents Word ou PDF diffusés par la messagerie. Dans les deux cas, pour échapper à la suspicion de la victime, de faux documents sont présentés à l’utilisateur lors de l’exécution.

Le malware a volé des données sensibles à partir d’ordinateurs infectés et les a envoyées vers les serveurs des attaquants. Il a utilisé différentes techniques de vols de données, parmi elles un keylogger, réalisant des captures d’écran et envoyant des documents de l’ordinateur infecté vers le serveur de l’attaquant. Fait intéressant, les informations volées à partir d’un ordinateur infecté ont été téléchargées vers le serveur de l’attaquant sans cryptage. « La décision de ne pas utiliser de cryptage est étonnante dans la mesure où cette opération est relativement simple  à utiliser et aurait pu masquer davantage l’opération», ajoute Jean-Ian Boutin.

Une analyse technique complète est disponible sur le site WeLiveSecurity.com – la nouvelle  plate-forme d’ESET dédiée à l’analyse des  cyber-menaces et aux conseils de sécurité.

Noms de détection

C’est une menace multi-partie et multi-vectorielle, dont les noms des menaces attribués par ESET sont les suivants :

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD Trojan

Win32/Spy.Agent.OBF Trojan

Win32/Spy.Agent.OBV Trojan

Win32/Spy.KeyLogger.NZL

Trojan Win32/Spy.KeyLogger.NZN

Trojan Win32/Spy.VB.NOF

Trojan Win32/Spy.VB.NRP

Trojan Win32/TrojanDownloader.Agent.RNT

Trojan Win32/TrojanDownloader.Agent.RNV

Trojan Win32/TrojanDownloader.Agent.RNW

Trojan Win32/VB.NTC

Trojan Win32/VB.NVM

Trojan Win32/VB.NWB

Trojan Win32/VB.QPK

Trojan Win32/VB.QTV

Trojan Win32/VB.QTY

Trojan Win32/Spy.Agent.NVL

Trojan Win32/Spy.Agent.OAZ trojan