CozyBear lance une campagne de phishing en utilisant PowerShell

0

Le groupe cybercriminel russe CozyBear a récemment lancé une campagne de phishing en utilisant PowerShell pour installer des logiciels malveillants sur les réseaux de think tanks et d’ONG. L’utilisation de PowerShell dans les attaques devient de plus en plus courante selon le dernier étude de Symentec car ce logiciel fournit un accès facile à toutes les principales fonctions du système d’exploitation. Lors de la création de malwares, les cyberttaquants utilisent de plus en plus des outils déjà existant sur les appareils ciblés. Microsoft PowerShell étant installé sur la plupart des ordinateurs sous Windows par défaut, il est devenu un outil idéal pour les cyberattaquants. 

PowerShell , une langue pour tous

Microsoft PowerShell est un puissant langage de script et un framework shell principalement utilisé sur les ordinateurs Windows. Il existe depuis plus de 10 ans et va remplacer l’invite de commande par défaut sur Windows à l’avenir. Bien que de nombreux administrateurs système utilisent des scripts PowerShell pour les tâches quotidiennes de gestion, les attaquants utilisent de plus en plus le cadre de leurs campagnes. De nombreuses attaques  récentes ont utilisé des scripts PowerShell. Par exemple, le groupe Odinaff a utilisé des scripts PowerShell malveillants lorsqu’il a attaqué des organisations financières dans le monde entier.

PowerShell est installé par défaut sur la plupart des ordinateurs Windows et la plupart des organisations ne disposent pas d’une journalisation étendue de son activée sur le framework. Ces deux facteurs font de PowerShell un outil d’attaque privilégié car, comme les organisations autorisent rarement le monitoring et l’enregistrement sur leurs ordinateurs, les menaces PowerShell sont plus difficiles à détecter.

En plus, étant installé par défaut sur les ordinateurs Windows, il laisse peu de traces détectables au cours d’une analyse, car le framework peut directement exécuter des charges utiles à partir de la mémoire. En outre, les scripts peuvent facilement être occultés.

Symantec a constaté que 95,4% des scripts PowerShell analysés sont malveillants et ils ont détaille également les grandes phases d’une attaque PowerShell et répertorie des logiciels malveillants communs de PowerShell, des exemples d’attaques ciblées et des groupes de pirates qui l’utilisent.

L’éditeur s’attend à ce que d’autres menaces PowerShell apparaissent à l’avenir et il recommande vivement aux administrateurs système de mettre à niveau vers la dernière version de PowerShell et d’activer les fonctionnalités de journalisation et de surveillance étendues.

Les familles de programmes malveillants les plus répandues qui utilisent actuellement PowerShell sont:

About Author

Globb Security France

Leave A Reply