Des logiciels espions « anormaux » volent des informations d’identification dans des entreprises industrielles

plant

Les chercheurs ont découvert plusieurs campagnes de logiciels espions qui ciblent les entreprises industrielles, visant à voler les informations d’identification des comptes de messagerie et à mener des fraudes financières ou à les revendre à d’autres acteurs.

Les acteurs utilisent des outils de logiciels espions prêts à l’emploi, mais ne déploient chaque variante que pendant un temps très limité pour échapper à la détection.

AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult et Lokibot sont des exemples de logiciels malveillants courants utilisés dans les attaques.

Une attaque atypique

Kaspersky appelle ces attaques de logiciels espions « anormales » en raison de leur nature de très courte durée par rapport à ce qui est considéré comme typique sur le terrain.

Plus précisément, la durée de vie des attaques est limitée à environ 25 jours, alors que la plupart des campagnes de logiciels espions durent plusieurs mois, voire plusieurs années.

Durée des attaques par rapport aux statistiques de toutes les détections
Durée des attaques par rapport aux statistiques de toutes les détections
Source : Kaspersky

Le nombre de systèmes attaqués dans ces campagnes est toujours inférieur à la centaine, dont la moitié sont des machines ICS (systèmes informatiques intégrés) déployées en milieu industriel.

Un autre élément inhabituel est l’utilisation du protocole de communication basé sur SMTP pour exfiltrer les données vers le serveur C2 contrôlé par l’acteur.

Contrairement à HTTPS, qui est utilisé dans la plupart des campagnes de logiciels espions standard pour la communication C2, SMTP est un canal unidirectionnel qui ne traite que le vol de données.

SMTP n’est pas un choix courant pour les pirates, car il ne peut pas récupérer de fichiers binaires ou d’autres fichiers non textuels, mais il prospère grâce à sa simplicité et à sa capacité à se fondre dans le trafic réseau normal.

Voler des identifiants pour favoriser l’infiltration

Les acteurs utilisent les informations d’identification volées des employés qu’ils acquièrent via le harponnage pour s’infiltrer plus profondément et se déplacer latéralement dans le réseau de l’entreprise.

De plus, ils utilisent des boîtes aux lettres d’entreprise compromises lors d’attaques précédentes comme serveurs C2 pour de nouvelles attaques, ce qui rend la détection et le signalement de la correspondance interne malveillante très difficiles.

Schéma opérationnel
Schéma opérationnel
Source : Kaspersky

« Curieusement, les technologies antispam d’entreprise aident les attaquants à passer inaperçus tout en exfiltrant les informations d’identification volées des machines infectées en les rendant « invisibles » parmi tous les e-mails inutiles dans les dossiers de spam. » – explique Le rapport de Kaspersky

En termes de chiffres, les analystes ont identifié au moins 2 000 comptes de messagerie d’entreprise abusés en tant que serveurs C2 temporaires et 7 000 autres comptes de messagerie abusés d’autres manières.

Vendre sur les marchés du dark web

De nombreuses informations d’identification de compte RDP, SMTP, SSH, cPanel et VPN volées dans ces campagnes sont publiées sur des marchés du dark web et finalement vendues à d’autres acteurs de la menace.

Selon l’analyse statistique de Kaspersky, environ 3,9 % de tous les comptes RDP vendus sur ces marchés illégaux appartiennent à des entreprises industrielles.

Les comptes RDP (Remote Desktop Protocol) sont précieux pour les cybercriminels car ils leur permettent d’accéder à distance aux machines compromises et d’interagir directement avec un appareil sans déclencher de signal d’alarme.

Généralement, ces listes suscitent l’intérêt des acteurs du ransomware qui utilisent l’accès RDP pour déployer leur malware dévastateur.