Des proxys aux backdoors, la logithèque de MITRE ATT&CK s'étend

Connaissez-vous Agrius ?

On a donné ce nom à un groupe de cybercriminels lié au renseignement iranien. Actif depuis au moins 2020, il est connu pour des campagnes impliquant wipers et ransomwares. Ses cibles se trouvent au Moyen-Orient ; en particulier en Israël.

Plusieurs outils associés aux opérations d'Agrius viennent de faire leur entrée dans la matrice principale du framework MITRE ATT&CK. En l'occurrence :

• BFG Agonizer, un wiper lié au projet open source Cryline (ransomware pour Windows)
• DEADWOOD, autre wiper, écrit en C++ et repéré pour la première en 2019 en Arabie saoudite
• IPsec Helper, outil d'accès à distance
• Moneybird, ransomware écrit en C++, ainsi nommé en référence à une chaîne de caractères apparaissant à la fois dans l'exécutable et dans la note de rançon
• MultiLayer Wiper, écrit en .NET

Trois autres outils codés en .NET sont apparus au sein de MITRE ATT&CK avec la dernière version (v16), publiée en octobre. Nommément :

• Apostle, wiper à l'origine puis devenu également ransomware ; apparenté à IPsec Helper tant par sa nature que par sa fonction
• Covenant, outil conçu pour le pentesting mais exploité en tant que framework C2 par des acteurs malveillants tels que HAFNIUM (actif depuis au moins 2021 et dit à la solde de la Chine)
• IMAPLoader, un loader exclusivement associé à CURIUM (groupe iranien actif depuis au moins 2018 et qui cible des fournisseurs de services IT au Moyen-Orient) ; il utilise les protocoles de messagerie électronique pour transmettre des communications C2 et des charges utiles

Pikabot et Spica, entre autres backdoors

Autre collectif à voir plusieurs de ses outils rejoindre MITRE ATT&CK : Daggerfly, actif depuis au moins 2012 et lié à la Chine. Les outils en question : MgBot (framework modulaire en C++) et Nightdoor (backdoor qui a des bibliothèques en commun avec MgBot).

Parmi les autres backdoors nouvellement entrées dans MITRE ATT&CK :

• BPFdoor
  Repérée en 2021. Utilisée par des acteurs basés en Chine. Cible les systèmes Linux. Peut utiliser TCP, UDP et ICMP pour les communications C2.
• CHIMNEYSWEEP
  Utilisée depuis au moins 2012 contre des cibles de langues arabe et perse. Exploitée en combinaison avec le ransomware ROADSWEEP lors de la campagne HomeLand Justice, menée par des acteurs à la solde de l'Iran contre le gouvernement d'Albanie. En ligne de mire, un groupe d'opposition ayant monté, sur place, un camp de réfugiés.
• Pikabot
  Utilisé depuis au moins 2022 par Play. Ce groupe présumé "fermé" est coutumier de la double extorsion. Dans son arsenal se trouve le ransomware Playcrypt, dont les tactiques d'exploitation s'apparent à celles du ransomware Hive.
• Spica
  Codée en Rust. Utilisée depuis au moins 2023 par Star Blizzard, un groupe de cyberespionnage originaire de Russie.

Autre nouvel entrant associé à un groupe russe : LunarLoader. Ce loader s'assortit des backdoors LunarWeb et LunarMail. La première cible les serveurs. La seconde, les postes de travail. Elle utilise les protocoles de messagerie électronique pour le C2.

APT41 et Volt Typhoon sont quant à eux dans la sphère chinoise du cybercrime. Le premier est actif depuis au moins 2012. Il voit deux de ses outils rejoindre MITRE ATT&CK : le dropper DUSTPAN (écrit en C++) et le framework DUSTTRAP. Le second, actif depuis au moins 2021, cible essentiellement des opérateurs d'infras critiques aux USA. Un de ses outils rejoint MITRE ATT&CK : le webshell VersaNem, qu'il a utilisé contre des FAI et des MSP (ciblage de serveurs Versa Director préalablement compromis).

Entre deux infostealers, un simili-Cobalt Strike

Dans la catégorie des infostealers, Cuckoo Stealer - distribué sous forme de binaire universel pour macOS - fait son entrée. Même chose pour Raccoon Stealer, une famille active depuis au moins 2019 et proposée en tant que service.

Gootloader est lui aussi distribué as a service. Ce framework JavaScript utilisé depuis au moins 2020 a permis d'acheminer, entre autres, l'exploit Cobalt Strike, le ransomware REvil et le trojan bancaire Gootkit.

Autre framework ajouté à la liste : Majusaka. En langue chinoise, il est similaire à Cobalt Strike. Un binaire ELF en GoLang contrôle des implants Windows et Linux écrits en Rust. Seul le module C2 est gratuit.

FRP (Fast Reverse Proxy) est au contraire un outil intégralement ouvert. Destiné à exposer sur Internet des serveurs situés derrière des NAT ou des pare-feu, il a été exploité pour la transmission de communications C2.

Le reste de la liste des nouveaux venus dans MITRE ATT&CK comprend :

• INC Ransomware
  Utilisé depuis au moins 2023 par le groupe INC Ransom. Supporte le chiffrement partiel et multithread.
• Lactrodectus
  Loader de malwares pour Windows utilisé depuis au moins 2023. Distribué principalement par les modes opératoires TA577 et TA578.
• NPPSPY
  Implémentation d'un mécanisme théorique présenté en 2004 pour capturer des authentifiants soumis à un système Windows via l'API Network Provider.
• Raspberry Robin
  Malware d'accès initial. Repéré en septembre 2021. Se diffuse par l'intermédiaire de périphériques USB contenant un objet LNK malicieux. Exécuté, il récupère diverses charges utiles.
• VPNFilter
  Plate-forme transversale supportant la collecte de renseignements et les attaques destructives.
• ZeroCleare
  Wiper utilisé en conjonction avec le pilote RawDisk depuis au moins 2019 par des acteurs dits liés à l'Iran. Il a servi à attaquer des organisations dans les secteurs de l'industrie et de l'énergie au Moyen-Orient. Ainsi que des cibles politiques en Albanie.

Illustration © pinkeyes - Adobe Stock