En 2018, EFF et des chercheurs de Lookout Security ont publié un rapport décrivant la menace persistante avancée (APT) que nous avons surnommée "Dark Caracal". Nous avons maintenant découvert une nouvelle campagne Dark Caracal opérant depuis mars 2022, avec des centaines d'infections dans plus d'une douzaine de pays. Dans ce rapport, nous présenterons des preuves que le groupe de cybermercenaires Dark Caracal est toujours actif et continue de se concentrer sur l'Amérique latine, comme cela a été signalé l'année dernière . Nous avons découvert que Dark Caracal, utilisant le logiciel espion Bandook, infecte actuellement plus de 700 ordinateurs en Amérique centrale et du Sud, principalement en République dominicaine et au Venezuela.
Dans notre rapport original de 2018, nous avons décrit une campagne ciblant des milliers de citoyens libanais avec plusieurs familles de logiciels malveillants différentes, y compris un tout nouveau cheval de Troie d'accès à distance mobile que nous avons nommé Pallas et un cheval de Troie d'accès à distance Windows appelé Bandook. Grâce à nos recherches, nous avons pu arrêter la campagne de logiciels malveillants et informer un certain nombre de victimes. Notre rapport sur l'opération Manul a établi que les acteurs derrière la campagne travaillaient avec les gouvernements du Liban et du Kazakhstan. La variété des cibles et l'implication apparente de plusieurs gouvernements tout au long des campagnes nous amènent à croire que Dark Caracal est un groupe de cybermercenaires ou de hack-for-hire.
Depuis notre rapport original sur Dark Caracal, il y a eu plusieurs rapports sur leurs activités continues. Checkpoint Research a écrit sur une campagne en 2020 et nous avons continué à suivre les activités de Dark Caracal avec notre rapport le plus récent, également en 2020 . Plus récemment, ESET a écrit sur les activités de Dark Caracal en Amérique latine dans son rapport Bandidos at Large .
Dark Caracal est loin d'être le seul groupe de logiciels malveillants ciblant actuellement l'Amérique latine. Le groupe de logiciels malveillants Quantum a ciblé le ministère de l'Agriculture de la République dominicaine en 2022. La République dominicaine est également un client signalé du groupe NSO .
Compte tenu de l'historique de travail de Dark Caracal avec des gouvernements nationaux – comme le Kazakhstan et le Liban – sur des campagnes à motivation politique, il est possible que la nouvelle campagne décrite ci-dessous soit également à la demande d'un acteur gouvernemental, mais sans plus d'informations sur l'appartenance des ordinateurs infectés. Pour cela, nous ne pouvons tirer aucune conclusion quant à la motivation de ces attaques.
Quoi qu'il en soit, nous appelons les législateurs et les régulateurs d'Amérique du Sud et d'Amérique centrale à être vigilants contre le logiciel espion de Dark Caracal, car celui-ci, et d'autres logiciels espions similaires, ont été utilisés pour commettre des violations flagrantes des droits de l'homme. À maintes reprises, les États-nations et les cybermercenaires ont utilisé des logiciels espions pour cibler des militants , des défenseurs des droits de l'homme et des journalistes dont le véritable travail consiste à découvrir les actes répréhensibles des gouvernements, à dire la vérité au pouvoir et à tenir les gouvernements responsables. Ce ciblage a entraîné une liste croissante d'exécutions extrajudiciaires de journalistes et de défenseurs des droits humains.
Les gouvernements devraient envisager de demander un moratoire sur l'utilisation gouvernementale de ces technologies malveillantes, de soutenir la recherche sur la sécurité informatique et les droits de l'homme pour tous, y compris la transparence, la responsabilité et la réparation pour les victimes.
Les gouvernements doivent reconnaître que l'hostilité gouvernementale à l'égard de la sécurité des appareils est dangereuse pour leur peuple. Si un gouvernement peut utiliser des logiciels malveillants contre des civils sous un gouvernement rival, rien n'empêche le gouvernement rival de faire de même. Les gouvernements devraient se concentrer sur l'amélioration de la sécurité informatique et la protection des droits de leurs citoyens à la liberté d'expression.
Nous espérons que ce rapport s'ajoutera à un ensemble de travaux exposant les cybermercenaires et convaincra les décideurs politiques que les cybermercenaires et le piratage des États-nations sont véritablement une menace mondiale pour les droits de l'homme et la société civile.
Une nouvelle campagne apparaît
Récemment, nous avons découvert une nouvelle version du malware Bandook, qui a été mise à jour pour avoir 148 commandes uniques qu'il peut envoyer à l'ordinateur infecté, bien plus que les 120 disponibles dans les échantillons précédents. Cet échantillon et les échantillons associés semblent faire partie d'une campagne qui a débuté en mars 2022, utilisant un nouveau serveur de commande et de contrôle (un ordinateur distant qui émet des commandes aux ordinateurs infectés et reçoit des données volées sur les ordinateurs infectés) au domaine désapprouvé deapproved[.]ru .
Dans le rapport "Bandidos at Large", les chercheurs d'ESET ont détaillé un mécanisme au sein de Bandook pour télécharger des DLL Windows (bibliothèques logicielles pour Windows) à partir d'un domaine secondaire au serveur de commande et de contrôle principal pour obtenir des fonctionnalités supplémentaires. En analysant les échantillons que nous avons obtenus, nous avons constaté que dans ce cas, le mécanisme de téléchargement de DLL supplémentaires pointait vers le domaine unclesow[.]com . Cependant, après enquête, nous avons réalisé que le domaine unclesow.com n'avait pas encore été enregistré. Nous avons pensé que ce domaine pourrait fournir des informations sur les activités de Dark Caracal, nous l'avons donc enregistré et mis en place un gouffre (un serveur qui héberge un domaine qui appartenait auparavant à une campagne de logiciels malveillants pour protéger les ordinateurs infectés et collecter des informations.)
Unclesow[.]com est actuellement hébergé par EFF. Depuis l'enregistrement de ce domaine, nous collectons des informations globales sur les victimes de cette campagne de logiciels malveillants. Sur la base des journaux de trafic quotidiens, il semble y avoir entre 600 et 800 machines infectées à tout moment, principalement en Amérique centrale et en Amérique du Sud. Étant donné que chaque infection Bandook se connecte au domaine secondaire plusieurs fois par jour, nous sommes convaincus que nous voyons toutes les infections pour cette campagne en cours. En raison de notre préoccupation pour la vie privée des victimes de cette campagne de logiciels malveillants, nous avons configuré le serveur pour supprimer les journaux après quatre semaines et collecter le strict minimum d'informations nécessaires .
Le jour même où nous avons configuré les entrées DNS pour unclesow[.]com, plusieurs autres domaines précédemment enregistrés ont soudainement pointé leur DNS vers le même serveur qui hébergeait unclesow. Il y avait 6 domaines pointés automatiquement vers notre serveur :
setsizee[.]com
secondave[.]com
scanlostt[.]com
santé mentale[.]biz
Email-securlink[.]com
goadaaddy[.]com
Sur la base du calendrier et de la nature apparemment liée au phishing de ces domaines, nous soupçonnons qu'il s'agissait d'un processus automatique, peut-être mis en place par les mêmes personnes qui dirigeaient la campagne Dark Caracal. Quelques jours plus tard, plusieurs des domaines ont été pointés vers une nouvelle adresse IP hors de notre contrôle. Cependant, trois des domaines (seconsave[.]com scanlostt[.]com et sensity[.]biz) pointent toujours vers notre serveur gouffre. Nous avons pu identifier plusieurs autres domaines connexes qui étaient hébergés sur d'autres serveurs en même temps que ces domaines (lorsqu'ils ne pointaient pas vers notre gouffre.)
La connexion de ces domaines à la campagne actuelle de Dark Caracal n'est pas claire. Ils peuvent être destinés à une campagne différente ou à un autre objectif Les tactiques, outils et procédures utilisés ne correspondent pas, les domaines ci-dessus étant hébergés sur DigitalOcean enregistrés auprès de NameCheap et non mentionnés dans les échantillons Bandook, alors que les domaines mentionnés dans les échantillons Bandook sont hébergés chez le fournisseur d'hébergement à toute épreuve OvO [ovo.sc] et enregistrés auprès d'une société appelée 1984 [1984.is]. De plus, nous n'avons observé aucun trafic intéressant ou trafic indiquant une infection Bandook vers l'un des domaines pointés vers notre gouffre autre que unclesow[.]com. Le seul lien avec cette campagne pour ces domaines est le fait qu'ils ont été automatiquement dirigés vers notre gouffre lorsque nous l'avons configuré. Pour l'instant cela reste un mystère.
Depuis que nous avons enregistré le domaine unclesow[.]com , les attaquants ont changé le domaine de commande et de contrôle deux fois, d'abord en cudenpower.co puis en bomes[.]ru . Cependant, dans les deux cas et encore à ce jour, ils n'ont pas changé le domaine d'infection secondaire de unclesow[.]com, ainsi notre gouffre continue de fonctionner même pour de nouveaux échantillons de logiciels malveillants. Il n'est pas clair si les opérateurs de logiciels malveillants se rendent compte que leur domaine secondaire est actuellement contrôlé par nous.
Bandook continue d'évoluer
Les versions de Bandook utilisées par cette campagne semblent être plus récentes que celles utilisées dans les dernières campagnes rapportées par ESET. La première étape du logiciel malveillant est passée de l'utilisation de GOST pour le chiffrement de la charge utile à l'utilisation de DES pour le chiffrement de sa charge utile de deuxième étape. La clé de déchiffrement est dérivée d'une phrase de passe en la hachant avec l'algorithme RIPEMD-128.
De plus, le logiciel malveillant contient 148 commandes possibles qu'il peut envoyer à l'ordinateur infecté à partir du serveur de commande et de contrôle au lieu des 132 précédentes dans les échantillons analysés par ESET. Les commandes incluent des fonctionnalités telles que : allumer la webcam, ajouter ou supprimer des fichiers de l'ordinateur, prendre le contrôle de la souris, enregistrer l'écran, démarrer une session de bureau à distance et télécharger d'autres bibliothèques pour des fonctionnalités supplémentaires (voir l'annexe pour plus.)
Ces changements indiquent un lien profond avec le groupe Dark Caracal car le code source de Bandook n'est pas public et le malware n'est pas à vendre pour autant que nous le sachions.
Au moment de la rédaction de ce rapport, des versions non compressées de logiciels malveillants ont été détectées par 41 des 70 produits antivirus de VirusTotal, tandis qu'un échantillon représentatif des logiciels malveillants compressés a été détecté par 35 des 71 produits antivirus.
Les serveurs de commande et de contrôle sont plus verrouillés que par le passé, les seuls services ouverts étant SSH et le service de commande et de contrôle écoutant sur le port 2222. Il n'y a pas d'interface d'administration Web comme on l'a vu dans le passé.
Victimologie
Des connexions à notre gouffre, nous avons observé des victimes dans plusieurs pays d'Amérique centrale et du Sud. Environ 75 % des ordinateurs infectés se trouvent en République dominicaine et 20 % au Venezuela.
Une carte des infections Bandook basée sur Shodan Data.
Étant donné que les ordinateurs infectés se connectent au serveur gouffre et effectuent une requête http GET pour le chemin ` /flras/get.php?huln=nevi` environ toutes les trois heures, nous pouvons estimer de manière fiable le nombre de machines infectées. À son apogée, nous soupçonnons que plus de 800 ordinateurs ont été infectés dans cette campagne de logiciels malveillants. Cependant, ce nombre peut être inférieur si certaines machines changent d'adresse IP en milieu de journée en raison d'un déplacement vers un nouveau réseau ou d'un changement d'adresse IP dynamique. Étant donné que toutes les connexions initiées par Bandook utilisent un agent utilisateur standard (voir annexe), nous n'avons aucun moyen de suivre les machines individuelles lorsqu'elles changent d'adresse IP.
Étant donné que les échantillons de logiciels malveillants Bandook n'ont jamais été observés que pour Windows, nous supposons que les machines infectées sont toutes des ordinateurs Windows. Selon les données de Shodan, de nombreuses adresses IP appartiennent à des routeurs de base sur les réseaux des FAI grand public. Nous supposons que ces routeurs ont des adresses IP dynamiques qui changent fréquemment, augmentant ainsi le nombre d'adresses IP uniques se connectant à notre gouffre.
Les infections diminuent le samedi et surtout le dimanche, ce qui nous porte à croire que la plupart des machines infectées se trouvent dans les lieux d'affaires. Cette hypothèse est également étayée par le nombre de connexions provenant de machines infectées abandonnées lors des principaux jours fériés tels que la veille de Noël, Noël et le jour de l'An.
Nombre d'ordinateurs infectés se connectant à notre gouffre par jour
Bien que nous n'ayons pu contacter aucune des victimes de cette campagne actuelle, leur emplacement ouvre la possibilité qu'il s'agisse d'une continuation de la campagne décrite dans le rapport Bandidos at Large. En raison de l'histoire de travail de Dark Caracal pour le compte de gouvernements, nous ne pouvons pas non plus écarter cette possibilité ici, bien que l'identité du client reste un mystère pour l'instant.
Merci à ESET, Martjin Grooten, Jeremy Kennely, Bill Marczak et VirusTotal pour leur aide dans cette recherche.
Annexe – Indicateurs de compromission
Domaines de commandement et de contrôle :
désapprouvé[.]ru
cudenpower[.]co
bomes[.]ru
cumumberpro[.]org
unclesow[.]com - SINKHOLED
Domaines éventuellement liés
setsizee[.]com
secondave[.]com
scanlostt[.]com
santé mentale[.]biz
Email-securlink[.]com
Blackshok[.]com
Scannost[.]biz
sedsource[.]com
snappcost[.]com
scicuredsit[.]com
secredserv[.]com
savesomme[.]com
secursnd[.]com
Serveursend[.]biz
Surfarr[.]com
sous-réseau[.]com
netsecure[.]com
sendgriide[.]com
sso-siigninn[.]com
Indicateurs de logiciels malveillants Bandook
Agent utilisateur : Mozilla/5.0 (Windows NT 10.0 ; WOW64 ; rv:55.0) Gecko/2010010146b Firefox/55.0
Chemin connecté au gouffre : /flras/get.php?huln=nevi
Sélection des commandes Bandook
Capture d'écran
ClearCred
GetCamlist
EnvoyerCam
Caméra d'arrêt
Désinstaller
CompressArchive
Générer des rapports
ObtenirWifi
StartShell
GetSound
DiviserMonFichier
GetAutoFTP
EnvoyerStartup
Obtenir la clé
EnvoyerMTPListe
EnvoyerMTPList2
GrabFileFromDevice
PutFileOnDevice
Supprimer le fichier du périphérique
CopierMTP
ChromeInject
DésactiverChrome
RarDossier
EnvoyerListeUSB
DéconnexionSkype
VolerUSB
StartFileMonitor
SendFileMonLog
ObtenirUSBMONLIST
ObtenirFichierMONLIST
StopUSBMonitor
RechercherMain
Arrêter la recherche
StopFileMonitor
EnvoyerinfoListe
EnableAndLoadCapList
DésactiverMouseCapture
AjouterAutoFTPToDB
SupprimerAutoFTPFromDB
ExécuterTV
ExécuterAMMY
DOSON
ExécuterTVNouveau
Installer Mac
Décompressez le fichier
Générer la base de données hors ligne
GetDDSize
RECSCREEN
Démarrer en direct
PREEW
Échantillons de bande non emballés
1a2ff4a809b5a3757eaa05dc362acb2b227a7d02cb13d74c17d850d44181cf04
Échantillons de bandook emballés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 article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2023/02/uncle-sow-dark-caracal-latin-america le Fri, 10 Feb 2023 14:58:51 +0000.