Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

WithSecure : Un outil de piratage chinois acquis par des hackers russes spécialistes du ransomware

mars 2023 par WithSecure

La cybercriminalité est une véritable industrie. Les différents groupes malveillants collaborent et partagent leurs expériences. Il en résulte des menaces toujours plus nombreuses et plus redoutables. Un nouveau rapport de WithSecure™ (anciennement connu sous le nom de F-Secure business) illustre ce phénomène. Il documente la migration du cyberoutil SILKLOADER - utilisé à l’origine par des cybercriminels chinois - vers des gangs de ransomware russes.

Les chercheurs de WithSecure™ ont identifié SILKLOADER pour la première fois lors d’une attaque contre un organisme de protection sociale en France. Selon le rapport, cet outil serait utilisé dans des attaques depuis, au moins, début 2022.

Avant l’été 2022, SILKLOADER était exclusivement utilisé par des cybercriminels chinois contre des cibles situées en Asie orientale, principalement à Hong Kong et en Chine. L’activité de SILKLOADER avait cependant cessé en juillet.

Jusqu’en septembre, cet outil n’avait plus été observé. Il est ensuite réapparu dans des attaques menées contre plusieurs pays, notamment Taïwan, le Brésil et la France.

Les chercheurs de WithSecure™ en ont conclu que SILKLOADER avait migré vers l’écosystème de cybercriminalité russe. Il est probable que les cybercriminels chinois aient vendu cet outil à leurs homologues russes.

« Selon nous, SILKLOADER est probablement vendu en « outil prêt à l’emploi » à des groupes de ransomware russes par le biais d’un programme Packer-as-a-Service. Il se peut aussi que SILKLOADER soit distribué via des groupes proposant Cobalt Strike/Infrastructure-as-a-Service à des affiliés de confiance. Quoi qu’il en soit, nous avons observé l’utilisation de cet outil dans des opérations malveillantes évoquant les prémisses d’attaques par ransomware », explique Mohammad Kazem Hassan Nejad, Intelligence Researcher chez WithSecure™. « La plupart des groupes concernés semblent avoir noué des échanges avec d’anciens membres du groupe CONTI, ou avec des cybergangs nés après la fermeture présumée de ce groupe. »

SILKLOADER appartient à la catégorie des « loaders ». Il exploite une technique connue sous le nom de DLL sideloading. En exploitant le lecteur VLC Media, il lance des balises Cobalt Strike sur les ordinateurs ciblés. Ces balises permettent aux hackers d’accéder aux appareils infectés de manière pérenne, et donc de s’en servir ultérieurement.

Selon Mohammad Kazem Hassan Nejad, ce loader a été conçu pour masquer les balises Cobalt Strike afin qu’elles puissent échapper aux mécanismes de protection. « Les balises Cobalt Strike sont très bien connues et sont la plupart du temps détectées sans problème. Cependant, en complexifiant le contenu du fichier et en le lançant via une application comme VLC Media Player via un sideloading, les hackers entendent contourner les mécanismes de défense mis en place » poursuit-il.

Lutte contre la cybercriminalité

Ce loader semble donc être disponible en tant qu’outil as-a-service par différents groupes. Selon Paolo Palumbo, vice-président de WithSecure™ Intelligence, cette situation montre à quel point il est difficile de lutter contre le partage de techniques et outils de piratage.

« Les hackers collaborent pour acquérir de nouvelles technologies. Ils peuvent ainsi adapter plus rapidement leurs opérations et mieux contourner les outils de protection. Il est difficile d’associer des ressources à un groupe spécifique ou à un mode opératoire particulier. Mais puisque les différents groupes partagent leurs outils, nous pouvons lutter contre plusieurs groupes à la fois, en créant des stratégies capables de neutraliser toutes ces ressources qu’ils mettent en commun », a déclaré Paolo Palumbo.


Voir les articles précédents

    

Voir les articles suivants