Dans un bulletin publié le 7 septembre, le CERT-FR met en garde contre une recrudescence d’activité malveillante reposant sur le cheval de Troie Emotet. L’ANSSI a constaté un ciblage d’entreprises et administrations françaises par le code malveillant. « Il convient d’y apporter une attention particulière, car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes », prévient le bulletin.
Les attaques les plus récentes, et de grande ampleur, basées sur Emotet ont eu lieu récemment et ont visé le Tribunal de Paris, des magistrats et des avocats. L’ANSSI et le Ministère de la Justice ont d’ailleurs publié un guide pour sensibiliser les entreprises et les collectivités aux risques, et dont nous avons rendu compte dans cet article.
Un loader de codes malveillants tiers
Observé pour la première fois en 2014, Emotet était à l’origine un cheval de Troie bancaire. Il a depuis évolué pour devenir un cheval de Troie modulaire destiné à télécharger des modules permettant diverses rapines sur les systèmes infectés. Ses différents modules lui permettent de récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Firefox, Chrome, Safari, Opera) et boîtes de courriels (Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail).
Ils peuvent également dérober la liste des contacts et le contenu et les pièces jointes attachées à des courriels. Ces modules peuvent se propager dans le réseau infecté en exploitant les vulnérabilités SMB ainsi que des mots de passe récupérés.
Emotet ou la porte ouverte à une variété d’attaques
Depuis qu’il a évolué par rapport à sa fonction d’origine de cheval de Troie bancaire, Emotet est devenu un loader qui distribue des codes malveillants dans les SI qu’il infecte. D’après le bulletin du CERT-FR, il distribue des codes malveillants opérés par des groupes d’attaquants qui sont clients de TA542, le groupe derrière Emotet. Par exemple, les chevaux de Troie bancaires Qbot, Trickbot, IcedID, GootKit, BokBot, Dridex et DoppelDridex peuvent être distribués en tant que seconde charge utile, avec une prédominance en 2020 de Qbot et TrickBot. En outre, ces derniers peuvent télécharger des rançongiciels au sein du système d’information compromis. C’est par exemple le cas de TrickBot auquel il arrive de télécharger les rançongiciels Ryuk ou Conti, peut-on lire dans le bulletin.
Après une absence de cinq mois, Emotet a refait surface en juillet 2020. Depuis, nombre de ses campagnes d’hameçonnage exploitent une technique de détournement des fils de discussion des courriels (email thread hijacking technique). Une fois ces informations dérobées, les campagnes d’hameçonnage ciblées (spearfishing) utilisent ces informations pour donner plus de crédibilité aux attaques. « Les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs “Re :”, et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes », explique le bulletin.
Et pour donner encore plus de chance à leurs courriels frauduleux de faire mouche, ils sont envoyés à des contacts de la victime, et plus particulièrement aux tierces parties de l’entité (clients et prestataires notamment) ayant participé au fil de discussion d’origine.
Plusieurs flux existent contenant des indicateurs de compromission actualisés relatifs à Emotet, ce code faisant l’objet de nombreuses investigations dans les secteurs public et privé. Parmi ces flux, https://paste.cryptolaemus.com/ et https://feodotracker.abuse.ch/browse/ représentent des sources fiables qu’il est recommandé d’intégrer dans ses moyens de détection et de blocage. Pour accéder au bulletin et à la documentation complète sur Emotet, voici le lien vers le bulletin du CERT-FR.