EmissarySoldier : une campagne orchestrée par le groupe LuckyMouse

Les études présentées dans le rapport d’ESET sur les gouvernements vont de pair avec les perspectives de la Commission européenne, du CERN et d’Europol présentées lors de la conférence virtuelle ESET European Cybersecurity Day le 28 avril 2021.

Les groupes de pirates sont le défi le plus redoutable de tous les gouvernements

Le rapport d’ESET sur les gouvernements examine le paysage des menaces façonné par les groupes de pirates et souligne sa nature complexe, en s’intéressant plus particulièrement à EmissarySoldier, une campagne malveillante menée par le groupe de pirates LuckyMouse, qui utilise sa boîte à outils SysUpdate pour compromettre des machines opérant Microsoft SharePoint.

Une campagne orchestrée par le groupe LuckyMouse

Cette étude approfondie de LuckyMouse examine sa boîte à outils SysUpdate relativement inconnue, dont les premiers échantillons n’ont été découverts qu’en 2018. Depuis lors, elle a évolué par étapes successives. Le modus operandi actuel de LuckyMouse consiste à installer ses modules via un modèle dit « en trident » qui utilise trois composants :

  • une application légitime vulnérable au détournement de DLL,

  • une DLL personnalisée qui charge le logiciel malveillant,

  • un binaire brut encodé avec Shikata Ga Nai.

Vue d’ensemble du modèle en trident

ESET - Emissary Soldier.png

Comme l’architecture modulaire de SysUpdate permet à ses opérateurs de limiter à volonté l’exposition des composants malveillants, les chercheurs d’ESET n’ont pas réussi à obtenir de modules malveillants et s’attendent à ce que ce soit une problématique constante lors de futures analyses. Quoi qu’il en soit, LuckyMouse a renforcé son activité en 2020, intégrant progressivement différentes fonctionnalités à la panoplie d’outils de SysUpdate.

L’évolution des outils utilisés par les groupes de pirates tels que LuckyMouse est une préoccupation majeure, car les gouvernements ont la responsabilité d’assurer la stabilité, pour leurs citoyens et les entreprises, et dans leurs relations avec les autres nations. Ces tâches de gouvernance sont menacées par LuckyMouse et d’autres groupes de pirates, y compris des acteurs financés par d’autres états, qui s’attaquent à des plateformes de collaboration très répandues telles que Microsoft SharePoint et aux services numériques fournis.

2 questions à Mathieu Faou, chercheur chez ESET

SDBR News: Que savons-nous du groupe LuckyMouse ?

Mathieu Faou : LuckyMouse est un groupe de cyberespionnage ciblant les gouvernements, les organisations internationales et les entreprises privées (telles que les opérateurs de télécommunications) du monde entier, même s'il se concentre particulièrement sur l'Asie centrale et le Moyen-Orient. Il utilise un vaste arsenal de logiciels malveillants comprenant des portes dérobées modulaires et un rootkit.

SDBR News : Ce sont souvent des mercenaires, mais peut-on savoir pour qui travaille LuckyMouse dans cette opération?

Mathieu Faou : Nous ne savons pas qui est le sponsor de LuckyMouse. Quant à la partie «mercenaires», il est en fait assez rare que les groupes de cyber-espionnage travaillent pour plusieurs gouvernements; ils sont généralement liés à un seul Etat ou à une Province.

Les gouvernements en première ligne

Plusieurs études d’ESET sont arrivées à leur terme en 2020 et 2021, celles-ci notamment utilisées par des organismes tels que l’Organisation européenne pour la recherche nucléaire (CERN), Europol et l’Agence nationale française de cybersécurité (ANSSI). Leurs points de vue, partagés durant l’événement virtuel (https://eecd.eset.com ) et dans le rapport qui en résulte, soulignent que les gouvernements et leurs infrastructures informatiques sont en première ligne.

Le rapport insiste également sur la nécessité pour les experts de continuer à aider les gouvernements à apporter leur vision en matière de sécurité, et continuer de suivre les tactiques, les techniques et les procédures des groupes de pirates via les différentes technologies de détection et de traitement des incidents à leur disposition.

Rendez-vous sur le site https://www.welivesecurity.com  pour télécharger le rapport. Veillez à bien suivre les recommandations du rapport, sans oublier de vous tenir informé des actualités d’ESET Research sur Twitter

 

À propos d'ESET

ESET.png

Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes.

*Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.

Crédits photos: ESET