Alors que les auteurs de cybermenaces commanditées par des Etats et les attaques les plus sophistiquées sont souvent bien connues, les entreprises font face à un nouvel arsenal d’attaques de plus en plus rapides. Ces activités vont du ransomware, à la fuite de données en passant par l’espionnage commercial, ce qui n’est pas sans conséquence pour la gestion ou la réputation d’une organisation. Ces attaques sont menées par des orchestrateurs de logiciels malveillants de niveau intermédiaire et parfois par des groupes de pirates informatiques à la demande, comme DeathStalker, que Kaspersky traque depuis 2018.

DeathStalker est un groupe cybercriminel unique se concentrant sur des activités de cyber-espionnage et ciblant des cabinets d’avocats et organisations spécialisées dans le secteur financier. Ce groupe est très agile et est connu pour utiliser une approche itérative et rapide dans la conception de logiciels, ce qui leur permet de mener des campagnes efficaces.
Les chercheurs de Kaspersky ont trouvé un lien inédit entre 3 familles de malwares, bien connus des différents acteurs en cybersécurité.

Une récente recherche a permis à Kaspersky de relier l’activité de DeathStalker à trois familles de malwares que sont Powersing, Evilnum et Janicab, ce qui dénote l’envergure des activités du groupe, qui serait actif depuis au moins 2012. Alors que Powersing a été tracké par l’entreprise depuis 2018, les deux autres familles de malwares ont été découvertes et signalées par d’autres experts en cybersécurité. L’analyse des similarités entre les codes et de la victimologie entre les trois familles de malwares ont permis aux chercheurs de Kaspersky de les relier, avec quasi-certitude.

Les tactiques, techniques et procédures employées par le groupe demeurent inchangées au fil des années : les cybercriminels usent de courriels sur-mesure de phishing pour livrer des archives contenant des fichiers malveillants. Lorsque l’utilisateur clique sur le raccourci pour ouvrir le document, un script malveillant est exécuté et télécharge différentes composantes depuis Internet. Ce qui permet aux attaquants de prendre le contrôle sur l’appareil de la victime.
DeathStalker utilise des techniques éprouvées de dissimulation, rendant difficile la détection de ses attaques

L’un des exemples est l’utilisation de Powersing, un implant fondé sur PowerShell, qui a été le premier malware détecté comme émanant du groupe. Dès lors que le terminal de la victime a été infecté, le malware est capable d’enregistrer et de faire des captures d’écrans périodiques, ainsi que d’exécuter divers scripts Powershell. En utilisant des méthodes persistantes alternatives, en lien avec la solution de sécurité détectée sur le terminal infecté, le malware est capable d’éviter de se faire détecter, en transmettant ces informations au reste du groupe afin d’effectuer des tests de détection préalables à chaque campagne et de mettre à jour les scripts afin que le malware demeure indétectable.
Au cours des campagnes utilisant Powersing, DeathStalker utilise également un service public très connu pour s’introduire dans les communications initiales par « backdoor » dans le trafic réseau officiel et public, limitant ainsi la capacité des défenseurs à entraver leurs opérations. En utilisant des résolveurs de dead-drops - des hôtes d’informations qui pointent vers une infrastructure de commandement et de contrôle supplémentaire - placés sur divers médias sociaux, blogs et services de messagerie légitimes, l’acteur a pu échapper à la détection et mettre rapidement fin à une campagne. Une fois que les victimes sont infectées, elles peuvent être atteintes et redirigées par ces résolveurs, cachant ainsi la chaîne de communication.

Un exemple de résolveur de dead-drop hébergé sur un service public officiel
L’activité de DeathStalker a été détectée à plusieurs endroits dans le monde, ce qui souligne l’importance de leurs activités au niveau mondial. Des attaques liées à Powersing ont été détectées et identifiées en Argentine, en Chine, à Chypre, en Israël, au Liban, en Suisse, à Taiwan, en Turquie, au Royaume-Uni ou encore aux Emirats Arabes Unis. Kaspersky a également recensé des victimes du malware Evilnum à Chypre, en Inde, au Liban, en Russie et aux Emirats Arabes Unis. Des informations détaillées sur les Indicateurs de Compromission liés aux actions de ce groupe, y compris les hachages de fichiers et les serveurs C2, sont accessibles via le Kaspersky Threat Intelligence Portal.

« DeathStalker est un exemple type des groupes de cybercriminels dont les organisations du secteur privé doivent se prémunir. Alors que nous nous concentrons souvent sur les activités menées par des groupes d’APT, DeathStalker nous rappelle que les organisations qui ne sont pas traditionnellement les plus exposées et donc moins vigilantes en matière de cybersécurité doivent savoir qu’elles peuvent, à leur tour, être victime d’attaque de ce type. De plus, à en juger par leur activité continue et la sophistication accrue de leurs outils, nous nous attendons à ce que DeathStalker demeure une menace durable. Ce groupe, en un sens, est la preuve que les PME doivent elles-aussi avoir une stratégie de sécurité y compris en matière de formations. », commente Ivan Kwiatkowski, senior security researcher au sein du GReAT Kaspersky. « Pour se protéger de DeathStalker, nous recommandons aux organisations de désactiver, dans la mesure du possible, la possibilité d’utiliser des langages de script, tels que powershell.exe et cscript.exe. Nous recommandons également que les futures formations de sensibilisation et les évaluations des produits de sécurité incluent des chaînes d’infection basées sur des fichiers LNK (raccourcis) ».

Pour éviter d’être victime d’une attaque ciblée, par un groupe APT ou tout autre attaquant, les chercheurs de Kaspersky recommendent d’implémenter les mesures suivantes :
• Fournir un accès aux dernières actualités de Threat Intelligence à l’équipe SOC. La plateforme Kaspersky Threat Intelligence Portal est un point d’accès unique pour les analystes de l’entreprise, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.
• S’assurer qu’une protection adaptée des endpoints est installée, telle que la solution Kaspersky Integrated Endpoint Security. Cela combine une protection des endpoints ainsi que la fonctionnalité EDR, permettant une protection efficace des menaces avancées et une visibilité immédiate sur les activités malveillantes détectées sur les terminaux de l’entreprise.
• Alors que de nombreuses attaques ciblées commencent avec du phishing ou toute autre technique d’ingénierie sociale, il apparaît indispensable d’introduire des formations et des introductions à la cybersécurité, par exemple via la plateforme KASAP (Kaspersky Automated Security Awareness Platform).