Numéro : AL22-013
Date : 10 novembre 2022
Mise à jour : 16 février 2023
Auditoire
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Tout au long de l’année 2022, le Centre pour la cybersécurité a observé plusieurs vagues de signalements de la part d’organisations canadiennes portant sur des compromissions par Qakbot. Des activités similaires ont été signalées dans plusieurs pays. Les compromissions ne semblent pas viser un secteur ou un lieu géographique en particulier.
Qakbot, également connu sous les noms Qbot ou Pinkslipbot, a d’abord été conçu pour voler de l’information. À l’origine, il ciblait des institutions financières, mais ses fonctionnalités et ses cibles ont évolué depuis. Le maliciel est modulaire et offre toute une gamme de capacités, notamment celle de voler des données sensibles et de se propager à l’intérieur d’un réseau. Le maliciel peut télécharger ces capacités additionnelles après la compromission initiale. Selon les observations au cours des dernières années, Qakbot sert de maliciel de « premier stade », c’est-à-dire qu’il permet de télécharger d’autres charges de virus, comme un rançongiciel ou Cobalt Strike.
La distribution de Qakbot s’effectue généralement au moyen de plusieurs méthodes d’hameçonnage, notamment par l’entremise de courriels malveillants en provenance d’adresses courriel invisibles ou en répondant à des conversations existantes Note de bas de page 1 Note de bas de page 2. La réutilisation des conversations existantes est une technique particulièrement efficace, puisque ces dernières semblent provenir d’une source de confiance, à savoir, dans plusieurs cas, d’une personne ayant déjà communiqué avec le destinataire auparavant. Le message créé au moyen de cette technique pourrait être suffisamment persuasif pour convaincre un destinataire peu méfiant de sa légitimité et l’inciter à cliquer sur un lien, ce qui ferait en sorte de télécharger un fichier ZIP malveillant ou d’ouvrir un fichier HTML contenant le fichier ZIP malveillant.
Les tactiques trompeuses et efficaces adoptées par l’auteur de menace pourraient amener l’utilisateur à extraire le fichier ZIP (souvent protégé par mot de passe), puis à ouvrir une série de fichiers incorporés menant au maliciel en question. Au cours des derniers mois, un de ces fichiers incorporés était un fichier ISO que l’on ouvrait dans un dossier dans Windows. Il s’agit d’une méthode qu’emploient les auteurs de menace pour tenter de contourner les mécanismes de protection Web Note de bas de page 3.
Les utilisateurs doivent se méfier des pièces jointes qui sont accompagnées d’instructions spéciales pour les ouvrir, qui mènent à de multiples couches de dossiers avant d’arriver au document prévu ou qui doivent être extraites pour accéder au document. Dans de telles situations, les utilisateurs devraient songer à faire une vérification de suivi en communiquant avec l’expéditeur du courriel par téléphone ou en créant une nouvelle conversation avec l’adresse courriel à partir d’une autre source (et non répondre au courriel suspect).
Les auteurs de menace continueront d’adapter leurs méthodes d’infection initiales. On encourage donc les administrateurs de système à mettre en place toutes les mesures d’atténuation possibles pour prévenir l’hameçonnage en général Note de bas de page 4 Note de bas de page 5 Note de bas de page 6.
Selon les observations du Centre pour la cybersécurité et les signalements reçus par ce dernier, des outils post-compromission, comme Cobalt Strike et Brute Ratel, ont été déployés après la compromission initiale dans le but de compromettre davantage les réseaux touchés.
Il serait ainsi possible de tirer avantage des réseaux préalablement compromis pour mener de plus amples activités malveillantes, dont déployer des rançongiciels.
Tactiques, Techniques et Procédures (TTP)
Les méthodes d’exploitation souvent observées sont énumérées ci-dessous avec de l’information sur le cadre MITRE ATT&CK afin d’offrir plus de contexte et des conseils d’atténuation Note de bas de page 7 :
Développement de ressources (Mitre T1586.002)
Le détournement des conversations existantes accroît les risques que surviennent d’autres compromissions fructueuses.
Accès initial (Mitre T1566.001, T1566.002)
Qakbot est principalement distribué dans des courriels malveillants au moyen d’une pièce jointe compressée, d’un lien ou d’une image intégrée.
Exécution (Mitre T1204.001, T1204.002, T1218.010, T1218.011)
Lorsqu’une victime ouvre le fichier LNK, la DLL Qakbot s’exécute.
Commande et contrôle (C2) (Mitre T1071.001, T1132.001)
Une fois installé, Qakbot envoie à son infrastructure C2 des signaux comportant des messages encodés transmis dans des requêtes HTTPS, GET et POST. Les adresses IP de l’infrastructure C2 sont mises à jour dans Qakbot à mesure que les infrastructures malveillantes sont découvertes et bloquées.
Persistance (Mitre T1547.001, T1053.005)
Qakbot assure généralement sa persistance par la création de tâches planifiées et de clés d’exécution de registre.
Évaluation de la défense (Mitre T1140, T1553.005)
Des fichiers compressés et des fichiers ISO protégés par mot de passe sont utilisés pour éviter la détection.
Découverte (Mitre T1016)
L’un des modules de Qakbot comporte plusieurs outils permettant de balayer le réseau interne. Par exemple, selon les observations, Qakbot a effectué des analyses ARP dans le but de découvrir d’autres points terminaux sur le réseau Note de bas de page 1.
Des activités semblables ont également été décrites dans un billet de blogue de SANS (InfoSec Handler’s Diary Blog) intitulé « TA570 Qakbot (Qbot) tries CVE-2022-30190 (Follina) exploit (ms-msdt) » (en anglais seulement) Note de bas de page 8.
Mise à jour 1
Au début de février 2023, le Centre pour la cybersécurité a été informé d’une augmentation du nombre de courriels d’hameçonnage contenant des pièces jointes OneNote malveillantes (.one) utilisées pour distribuer Qakbot et d’autres maliciels.
Les pièces jointes OneNote malveillantes contiennent des fichiers intégrés et peuvent comprendre une image ressemblant à un bouton cliquable. Un message d’avertissement de sécurité pourrait s’afficher au moment où l’utilisateur ouvre la pièce jointe. Si l’utilisateur ignore l’avertissement et ouvre le fichier intégré, ce dernier exécute sa charge de virus, qui pourrait consister en un fichier de raccourci (LNK), une application HTML (HTA) ou un fichier script Windows (WSF) Note de bas de page 17Note de bas de page 18, ce qui mène à la distribution du maliciel Qakbot.
Les auteurs de menace tirent avantage de la confiance inhérente conférée aux plateformes, comme Microsoft OneNote, pour contourner certaines des protections offertes par les filtres antipollupostage des courriels et les passerelles d’entreprise en ligne.
Si votre organisation n’utilise pas Microsoft OneNote, il convient de filtrer les pièces jointes entrantes portant l’extension de fichier OneNote pour empêcher les utilisateurs finaux d’ouvrir tout document OneNote malveillant.
Mise à jour 2
Le 16 février 2023, le Centre pour la cybersécurité a publié une mise à jour de la règle YARA ci-dessous pour élargir les capacités de détection.
Atténuation
Yara :
Pour assurer des performances appropriées et limiter les risques de faux positifs, il convient de valider la règle YARA suivante dans le cadre des processus de tests internes propres à l’organisation avant de l’utiliser sur des systèmes de production ou pour créer des règles de blocage. Ces règles doivent servir de point de départ aux efforts de recherche visant à relever les activités. Il pourrait toutefois être nécessaire de les modifier si la famille de maliciels change au fil du temps.
Yara code commence
rule onenote_downloader {
meta:
id = "5agXf6mY0R9rvwzpeYjzns"
fingerprint = "17dd9c81bd00db3907a8d444f2f6dddb0cae0b2ba15ec68a3d721ac0cf1ea022"
version = "6.0"
first_imported = "2023-02-06"
last_modified = "2023-02-15"
status = "RELEASED"
sharing = "TLP:WHITE"
source = "CCCS"
author = "reveng@CCCS"
description = "Malicious one note file that is being used to download and/or execute payload."
category = "MALWARE"
malware_type = "DOWNLOADER"
mitre_att = "TA0002"
actor_type = "CRIMEWARE"
reference = "https://www.proofpoint.com/us/blog/threat-insight/onenote-documents-increasingly-used-to-deliver-malware"
reference = "https://blog.didierstevens.com/2023/01/22/analyzing-malicious-onenote-documents/"
hash = "636f8f5fa6d17d092007a750a38cbe4d171e608eab5b8264dbfa35209529cb9a"
hash = "f674b1c858ea26730ab113c83a87f71a38cb367e8ef20223f5a1f668b29b7938"
strings:
$onenote_guid = { e4 52 5c 7b 8c d8 a7 4d ae b1 53 78 d0 29 96 d3 }
$fo = {e716e3bd65261145a4c48d4d0b7a9eac}
$str0 = "powershell" ascii
$str2 = "FromBase64String" ascii
$str3 = "WScript.Shell" ascii
$str4 = "WshShell" ascii
$str6 = "%70%6F%77%65%72%73%68%65%6C%6C"
$fname0 = ".hta" wide
$fname1 = ".cmd" wide
$fname2 = "Z:\\build\\one" wide
$fname3 = ".hta" wide
$fname4 = ".bat" wide
$fname5 = ".vbs" wide
$fname6 = ".scr" wide
$fname7 = ".iso" wide
$fname8 = ".img" wide
$fname9 = ".exe" wide
$fname10 = ".ps1" wide
$fname11 = ".wsf" wide
$fname12 = ".jse" wide
$fname13 = "Z:\\builder\\" wide
condition:
$onenote_guid and (
/* check if we have the strings within a single file block */
for any i in (1..#fo):(
for 1 of ($str*):(
$ in (@fo[i] + 0x24 ..
@fo[i] + 0x24 + uint16(@fo[i] + 16)
)
)
)
or
/* or the file names referenced twice */
for any of ($fname*):(
#>=2
)
)
}
Yara code terminer
Mesures recommandées
Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures suivantes :
- Accroître la sensibilisation et la formation des employés au sujet de l’hameçonnage et du pourriel, notamment pour qu’ils apprennent à reconnaître les courriels malveillants et connaissent les procédures à suivre lorsqu’ils reçoivent de tels courriels Note de bas de page 4 Note de bas de page 5 Note de bas de page 6.
- Les employés devraient envisager de faire une vérification additionnelle lorsque le courriel reçu semble inhabituel ou exige des actions supplémentaires. La vérification ne devrait pas consister à répondre au courriel suspect ayant été reçu.
- Veiller à ce que les correctifs soient appliqués régulièrement aux systèmes et à ce que les logiciels antivirus soient toujours à jour.
- Appliquer le principe de droit d’accès minimal aux comptes d’utilisateur. Cette mesure peut limiter les répercussions d’un maliciel dans l’éventualité où il serait exécuté par mégarde sur une machine.
- S’assurer de désactiver les macros par défaut pour les documents non approuvés Note de bas de page 10.
- Passer en revue la liste complète des techniques MITRE ATT&CK employées par les auteurs de menace qui ont recours à Qakbot et les mesures d’atténuation connexes pour aider à réduire l’exposition aux menaces Note de bas de page 7.
- Le Centre pour la cybersécurité a élaboré plusieurs publications sur les pratiques exemplaires en matière de sécurité permettant de protéger votre organisation. Il s’agit notamment des 10 mesures de sécurité des TI et des publications « Rançongiciels » et « Protéger l’organisme contre les maliciels » Note de bas de page 9 Note de bas de page 4 Note de bas de page 5Note de bas de page 6 Note de bas de page 10 Note de bas de page 11.
- S’assurer que des mesures préventives ont été mises en place pour planifier les rançongiciels et s’y préparer Note de bas de page 12 Note de bas de page 13.
- La CISA propose plusieurs publications intéressantes sur le rançongiciel Qakbot Note de bas de page 14 Note de bas de page 15.
De plus, les organisations peuvent également envisager de désactiver le montage automatique des fichiers images de disque dur, comme les fichiers ISO, pour prévenir l’utilisation de techniques de contournement des mécanismes de détection. Elles pourraient, à cette fin, modifier les valeurs du Registre, ce qui exigerait de prendre sérieusement en considération les problèmes possibles liés à la procédure normale d’exploitation si des fichiers images de disque dur sont régulièrement utilisés.
Le Centre pour la cybersécurité tient à souligner qu’il est possible que l’atténuation de problèmes, de systèmes ou de serveurs individuels ne suffise pas à atténuer une compromission de systèmes orchestrée par des auteurs de menace hautement qualifiés. Dans de tels cas, selon le degré de sophistication des moyens employés par l’auteur de menace, les organisations devraient envisager de mettre en œuvre des mesures d’atténuation plus poussées que le simple retrait ou la simple mise à jour du produit. Le Centre pour la cybersécurité recommande aux clients touchés de passer en revue son bulletin de cybersécurité conjoint sur les approches techniques à la détection et à l’atténuation des activités malveillantes Note de bas de page 16.
S’ils relèvent des activités similaires aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).