Nos experts ont étudié l’activité d’Andariel, qui pourrait être un sous-groupe de Lazarus APT. Les cybercriminels se servent du programme malveillant DTrack et du ransomware Maui pour attaquer les entreprises. Comme c’est généralement le cas avec Lazarus, le groupe cherche avant tout à gagner de l’argent, cette fois grâce à des demandes de rançon.
Les cibles du groupe Andariel
Nos experts en ont conclu qu’au lieu de se concentrer sur un domaine en particulier, le groupe Andariel est prêt à attaquer n’importe quelle entreprise. En juin, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a signalé que le ransomware Maui s’en prenait principalement aux entreprises et aux organismes publics du système de santé américain. Pourtant, notre équipe a détecté au moins une attaque qui visait une société de construction au Japon, ainsi que d’autres victimes en Inde, au Vietnam et en Russie.
Les outils du groupe Andariel
Le logiciel malveillant DTrack est l’outil principal du groupe Andariel. Il recueille des informations sur la victime et les envoie à un hôte à distance. DTrack recueille, entre autres, l’historique du navigateur et le sauvegarde dans un fichier à part. La variante utilisée pour les attaques menées par Andariel permet d’envoyer les informations recueillies au serveur des cybercriminels via HTTP, et de les conserver dans un hôte à distance sur le réseau de la victime.
Le ransomware Maui entre en jeu lorsque les cybercriminels trouvent des informations importantes. Il est généralement détecté sur les hôtes attaqués 10 heures après l’activation du programme malveillant DTrack. Nos collègues de Stairwell ont étudié des échantillons et en ont conclu qu’il est contrôlé manuellement par ses opérateurs. Autrement dit, ils lui indiquent quelles données chiffrer.
Il semblerait que les cybercriminels se servent aussi de l’outil 3Proxy. Le format compact de cet ensemble de serveurs proxy gratuits et légitimes multiplateforme, seulement quelques centaines de kilo-octets, intéresse certainement les escrocs. Cet outil peut être utilisé pour maintenir un accès à distance sur l’ordinateur compromis.
Les méthodes utilisées par Andariel pour distribuer son malware
Les cybercriminels exploitent les versions non corrigées des services publics en ligne. Dans l’un de ces cas, le programme malveillant a été téléchargé à partir d’un HFS (logiciel HTTP File Sever) : les cybercriminels ont utilisé un exploit inconnu qui leur a permis d’exécuter un script Powershell depuis un serveur à distance. Dans un autre cas, ils ont pu compromettre un serveur WebLogic en exploitant la vulnérabilité CVE-2017-10271, qui leur a ensuite permis de lancer un script.
Si vous souhaitez obtenir une description plus technique de l’attaque et des outils utilisés, et connaître les indicateurs de compromission, nous vous invitons à lire l’article publié sur Securelist.
Comment vous protéger ?
Tout d’abord, vous devez vérifier que tous les dispositifs d’entreprise, y compris les serveurs, sont équipés de solutions de sécurité robustes. De plus, il serait également judicieux d’adopter en avance une stratégie et des mesures anti-ransomware au cas où votre entreprise serait infectée.