Une nouvelle attaque de cyberespionnage cible des institutions gouvernementales et militaires comme les ambassades de l’Europe de l’Est ou encore les institutions de défense militaires du Moyen-Orient.
Baptisée Gallmaker, cette campagne d’attaques exploite des vulnérabilités au sein du protocole DDE et utilise des outils de piratage publiquement disponibles. Le protocole DDE était légitimement utilisé pour la communication entre les applications Microsoft et permet d’exécuter du code à distance sans utiliser de macros. Cette fonctionnalité légitime a été détournée par des pirates pour exécuter du code malveillant. Suite à l’augmentation du nombre d’infections grâce à l’utilisation de ce protocole, Microsoft a déployé un correctif pour désactiver ce protocole en décembre 2017 et un autre en septembre 2018 pour mieux le sécuriser. Les victimes de Gallmaker n’avaient pas installé ce correctif sur leurs machines.
Gallmaker est actif depuis décembre 2017 ; sa dernière activité identifiée date de juin 2018.
Techniques, tactiques et outils :
Pour infecter la machine cible, aucun logiciel malveillant n’est utilisé. Les attaquants utilisent la technique « Living off the Land » où ils exploitent des failles dans des fonctionnalités légitimes pour infecter leurs cibles. Dans le cas de Gallmaker, les attaquants utilisent des fichiers Word en exploitant le protocole DDE afin d’infecter leurs cibles. Pour gagner accès aux machines, les attaquants suivent les étapes suivantes :
- Un fichier Word malicieux est envoyé via hameçonnage ciblé. Le titre du fichier est écrit en anglais ou cyrillique
- L’utilisateur active le contenu du document
- Ce qui permet aux attaquants d’utiliser le protocole DDE pour exécuter des commandes à distance et
- D’exécuter divers outils. Ils incluent WindowsRoamingToolsTask pour la planification des scripts et tâches, Powershell, pour exécuter la charge Metasploit reverse_tcp ou pour utiliser la librairie Rex Powershell disponible sur GitHub (elle facilite la création et la manipulation de scripts PowerShell utilisés par les exploits Metasploit)
Les attaquants utilisent trois adresses IP primaires pour la communication avec les serveurs de commande et contrôle. La liste des indicateurs de compromission est disponible sur le fichier de Symantec : Gallmaker IOCs
Pour en savoir plus