Operation Sharpshooter – une nouvelle campagne d’arnaque frappe l’infrastructure mondiale

Une nouvelle campagne de programmes malveillants dont les distributeurs prétendent être une recrue a eu un impact sur de nombreuses organisations, notamment l’énergie nucléaire, la défense, les finances, les télécommunications, les soins de santé et d’autres secteurs. L’équipe McAfee Advanced Threat Research et le groupe McAfee Labs Malware Operation ont découvert ce problème et l’ont baptisé «Operation Sharpshooter».

The Operation Sharpshooter – analyse approfondie

Operation Sharpshooter est une campagne d’escroquerie par courrier électronique à l’échelle mondiale visant divers secteurs, se faisant passer pour une activité de recrutement. L’équipe de sécurité McAfee a été la première à révéler cette campagne d’escroquerie par courrier électronique à l’échelle mondiale visant les sociétés nucléaires, de défense, d’énergie et autres sociétés financières.

Les acteurs de l’opération tireur d’élite envoient ces courriels. Ces courriels ont joint un document Word avec des macros armées. Les destinataires sont forcés de croire que les courriels proviennent d’une source authentique (adresse de l’expéditeur légitime). Cependant, une fois que vous avez cliqué sur le document Word à télécharger, un code shell s’exécute automatiquement et injecte Sharpshooter Downloader dans la mémoire du mot.

Le téléchargeur sharpshooter télécharge en outre deux fichiers:

  • Rising Sun – une charge utile qui collecte des données confidentielles
  • OLE – un document Word

La charge utile a été téléchargée dans le dossier de démarrage pour assurer la persistance du système, tandis que le document OLE a été téléchargé dans% LOCALLAPPDATA%, utilisé pour tenter le contenu malveillant.

L’implant collecte des informations personnelles, notamment l’adresse IP, les noms de connexion, les noms d’utilisateur, ainsi que des informations cruciales contenant du système, telles que le nom de l’adaptateur réseau, le nom du produit OS. Après la collecte des informations, il chiffre les données stockées avec l’algorithme RC4. L’implant Rising Sun a 14 capacités de porte dérobée suivantes

  • Se connecter à une adresse IP
  • Modifier les attributs de fichier
  • Attributs de fichier de variante de changement
  • mettre fin au processus
  • lire le fichier
  • Exécuter des commandes
  • Obtenir des informations sur le lecteur
  • Lancer le processus à partir du binaire Windows
  • Obtenir des informations sur les processus
  • Obtenir des informations de fichier supplémentaires pour les fichiers d’un répertoire
  • Obtenir les temps de fichier
  • Effacer la mémoire de processus
  • écrire le fichier sur le disque
  • Supprimer le fichier

 «Entre octobre et novembre, cet implant est présent dans 87 organisations dans le monde et principalement aux États-Unis», a déclaré McAfee.

Lazarus Group semble être responsable de cette campagne

Des chercheurs spécialisés dans l’analyse des menaces analysent le fonctionnement des tireurs d’élite et concluent que cette campagne présente trop de similitudes avec d’autres campagnes créées par le groupe Lazarus.

L’équipe McAfee déclare dans son message:

«Les nombreux liens techniques que l’Opération Sharpshooter entretient avec le groupe Lazarus semblent trop évidents pour conclure immédiatement qu’ils sont responsables des attaques et indiquent plutôt un potentiel de faux drapeaux.