Sofacy: une pièce jointe malveillante en Microsoft Word

0

Mercredi 18 octobre dernier, les chercheurs de Proofpoint ont détecté une pièce jointe Microsoft Word malveillante exploitant une vulnérabilité récemment corrigée d’Adobe Flash, CVE-2017-11292.

Cette attaque serait l’œuvre d’APT28 (également connu sous le nom de Sofacy), un groupe parrainé par l’État russe, à qui plusieurs cyberattaques ont été attribuées, notamment contre TV5 Monde en 2015. Les données de ciblage pour cette campagne sont limitées, mais, envoyés à partir de services de messagerie gratuits, certains emails ont été envoyés à des entités gouvernementales et à des entreprises du secteur privé dans l’industrie aérospatiale. Le ciblage géographique connu semble large, y compris en Europe et aux États-Unis.

En examinant la chaîne d’exploitation du document, les experts de Proofpoint ont découvert que DealersChoice.B , le framework d’attaque utilisé par le document, exploite également CVE-2017-11292, une vulnérabilité Flash pouvant mener à l’exécution de code arbitraire sur Windows, Mac Systèmes d’exploitation, Linux et Chrome OS. La vulnérabilité a été annoncée et corrigée le lundi 16 octobre.

À ce moment-là, Kaspersky attribuait l’utilisation de l’exploit au groupe BlackOasis APT, qui est distinct de APT28. Proofpoint pense que APT28, qui possède également cet exploit (qu’il soit acheté, découvert par lui-même ou modifié par l’attaque BlackOasis), puisse maintenant en profiter aussi rapidement que possible avant que le patch ne soit largement déployé.

Ainsi, alors que cet exploit n’est plus un jour zéro, il s’agit seulement de la deuxième campagne connue l’utilisant en public. APT28 a brûlé son CVE-2017-0262 EPS 0 jour de la même manière en avril après que Microsoft ait poussé une réduction d’exploit EPS, ce qui a considérablement réduit l’impact de cet exploit.

Une analyse montre que DealersChoice a déjà été utilisé pour exploiter une variété de vulnérabilités Flash, notamment CVE-2015-7645, CVE-2016-1019, CVE-2016-4117 et CVE-2016-7855 via des objets incorporés dans des documents Microsoft Word.

word

Bien qu’il s’agisse probablement d’une erreur opérationnelle, ce document malveillant incorpore deux fois le même objet Flash dans un contrôle ActiveX pour une raison inconnue. Les fichiers Flash fonctionnent de la même manière que la dernière attaque connue utilisant cet outil: le Flash intégré décompresse un second objet Flash qui gère la communication avec le serveur de distribution d’exploit. La seule différence est que ce second objet Flash n’est plus stocké crypté. Il y a d’autres signes que cette campagne a été conçue à la hâte: par exemple, les acteurs n’ont pas changé les constantes de l’algorithme de déchiffrement comme ils l’ont fait dans le passé. Ces constantes particulières ont déjà été utilisées lors d’une campagne de fin décembre 2016. Chaque document utilise un domaine différent pour l’exploitation des victimes, tandis que le protocole de communication avec le serveur est resté le même

À ce stade, malgré l’impact potentiel sur les systèmes d’exploitation de cette vulnérabilité Flash particulière, Mac OS ne semble pas être ciblé par cette campagne. Les utilisateurs exécutant des versions 64 bits de Microsoft Office 2016 et Windows 10 RS3 devraient également être protégés contre cet exploit.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply