Durant Les Assises de la sécurité 2024 de Monaco, une session de l’éditeur Vade se focalisait les malwares et notamment sur les groupes de hackers derrières ces attaques. L’aspect le plus intéressant de la présentation fut de comprendre qu’il y a un seul type de malware mais plusieurs, et surtout la topographie des hackers à l’origine de ces attaques est diverse.

Cette diversité est importante car les liens avec certains Etats ou encore les objectifs diffèrent parfois radicalement. Certains groupes communiquent à tout-va, d’autres sont particulièrement discrets. Bref, il faut comprendre les personnes, les types d’attaques utilisés et les objectifs. 

Par exemple, Fancy Bear est un un groupe actif, ayant des liens avec le GRU (Russie). Il adore le 0-day, le phishing, et le malware. Les objectifs sont divers : espionnage, sabotage d’infrastructures (par exemple, un complexe énergétique), et propagande. Lazarus, groupe clairement lié à la Corée du Nord, fait du sabotage et de l’espionnage. Le gain financier est sa principale motivation. 

Anonymous Sudan est un groupe qui aime parler et communiquer. Ils ont plutôt un rôle d’hacktiviste et de déstabilisation avec une attaque favorite, le DDoS. Beaucoup plus discret, nous trouvons le groupe TA-577. Il oeuvre depuis 2020 mais les liens sont peu clairs. Ce groupe a la caractéristique de changer de techniques d’attaque quand cela est nécessaire, ce qui n’est pas toujours le cas dans ce domaine.

TA-577 fait le gain financier un objectif mais sa principale activité est de récupérer les accès d’ordinateurs et de réseaux pour les revendre. C’est moins visible mais tout aussi redoutable. Ces accès servent souvent à faire du minage illicite. Une des spécialités du groupe est de faire du hijacking de mails. C’est-à-dire : détourner un mail officiel / licite, le « copier » pour introduire des URL illicites ou encore utiliser des failles dans des plugins WordPress. Ils sont particulièrement experts en scripts de redirection. Pour brouiller les pistes et tromper les scanneurs et outils de sécurité, le groupe utilise une double redirection pour effacer les traces. Cette technique cache une URL finale illicite derrière une URL normale… Au final, le but est de pouvoir installer en « silence » un malware loader. 

Autre attaque menée par un groupe ou plusieurs, son origine reste obscure, c’est le paste jacking. Cette attaque, particulièrement sournoise, est utilisée pour installer des malwares de type Darkgate. Le paste jacking, comme son nom nous l’indique, utilise le copier-coller et surtout le presse-papier. Par exemple, on utilise souvent le copier-coller pour une chaîne de connexion, un mot de passe très long ou encore pour un ID de cryptomonnaie. 

Le paste jacking se cache souvent derrière un phishing. Par exemple : demander d’installer un (faux) plug-ins ou une (fausse) mise à jour ou d’ouvrir un (faux) PDF ou document bureautique. La procédure demande d’exécuter une suite d’instructions que l’on copie-colle et c’est là que le paste jacking intervient car en réalité le malware est présent dans le script. Plus sournois encore, un fichier PDF semble provoquer une erreur, un script caché va s’exécuter si l’utilisateur clic sur un des boutons de l’erreur. Ce script peut prendre la forme d’un script PowerShell. Pour masquer la réalité du script, les hackers passent par un encodage base64. Seul le décodage de la base64 pourra révéler la réalité. 

Les instructions peuvent charger discrètement un malware de type Darkgate en utilisant par exemple un autoit, créer un fichier HTA qui sera obfusqué pour ralentir la détection… Comme le disait Vade durant la présentation, il existe une multitude de variante mais la base de l’attaque reste la même.