Le groupe Ke3chang cible des diplomates en Europe et en Amérique Latine

Prochain témoignage
ESET

ESET découvre un nouveau projet de malware de l’insaisissable groupe Ke3chang APT

BRATISLAVA, le 18 juillet 2019 – Des chercheurs d’ESET ont découvert de nouvelles versions de la famille de malware liée à l’insaisissable  groupe Ke3chang APT ainsi qu’une « Backdoor » encore non signalée. ESET a suivi le groupe APT, dont on pense qu’il fonctionne depuis plusieurs années à partir de la Chine.
La porte dérobée, découverte récemment et nommée Okrum par ESET,  a été détectée pour la première fois à la fin 2016 puis au cours de l’année 2017. Elle était utilisée pour cibler des missions diplomatiques et des institutions gouvernementales en Belgique, en Slovaquie, au Brésil, au Chili et au Guatemala.  Par ailleurs, depuis 2015 ESET a continuellement détecté de nouvelles versions de cette famille de malwares déjà connues et attribuées au  groupe Ke3chang.

Lors de recherches remontant à 2015, ESET a identifié dans différents pays  européens de nouvelles activités suspectes. Le groupe derrière les attaques semblait avoir un intérêt particulier pour la Slovaquie, mais la Croatie, la république Tchèque et d’autres pays étaient aussi affectés. En analysant le malware utilisé lors de ces attaques, les chercheurs d’ESET ont découvert qu’il était lié à la famille de malware attribuée au groupe Ke3chang. Ces nouvelles versions ont été surnommées Ketrican.  

A la fin de 2016, les chercheurs ont découvert une nouvelle porte dérobée encore inconnue, qui, en Slovaquie,  avait les mêmes cibles que celles utilisées par les portes dérobées Ketrican en 2015. La porte dérobée surnommée Okrum a été active tout au long de 2017.

« En rassemblant toutes les données, nous avons découvert que la porte dérobée Okrum était utilisée pour déposer une porte dérobée Ketrican, compilée en 2017. De plus, nous avons découvert que certaines entités diplomatiques affectées  en 2015 par le malware Okrum et les portes dérobée Ketrican étaient également affectées en 2017 par les porte dérobées Ketrican,» explique Zuzana Hromcova, la chercheuse d’ESET qui a fait ces découvertes. « Le groupe est resté actif en 2019. En mars, nous avons découvert un nouvel échantillon de Ketrican,» ajoute-t-elle au sujet des activités les plus récentes de ce groupe particulièrement  insaisissable.

Les recherches d’ESET fournissent  les preuves attribuant la porte dérobée nouvellement découverte au groupe Ke3chang. Outres des objectifs partagés, Okrum a un mode de fonctionnement similaire à celui du malware Ke3chang. Okrum est uniquement pourvu des commandes de base d’une porte dérobée et  s’appuie sur la saisie manuelle de commandes et l’exécution d’outils externes pour la plupart de ses activités malveillantes. Ceci était un mode de fonctionnement standard  du groupe Ke3chang durant les campagnes étudiées précédemment.
Bien que le malware ne soit pas complexe techniquement, nous pouvons constater avec certitude que les auteurs malveillants derrière Okrum essayaient  de passer inaperçus. Dans le malware Okrum, nous avons enregistré plusieurs techniques pour éviter la détection.

 
La charge utile est cachée dans un fichier PNG. Lorsque ce fichier est lu dans une visionneuse, une image PNG inoffensive est affichée mais les chargeurs Okrum peuvent ainsi localiser un fichier supplémentaire crypté que l’utilisateur ne peut pas voir.

Les opérateurs du malware ont également essayé de cacher le trafic malveillant avec le serveur de commande et de contrôle dans le trafic réseau normal en enregistrant des noms de domaines d’apparence légitime :« Les échantillons utilisés contre les cibles slovaques étaient en communication avec un nom de domaine imitant un portail cartographique slovaque, » explique Suzana Hromcova.

Par ailleurs, les auteurs modifiaient fréquemment l’implémentation des composants du chargeur et de l’installateur Okrum afin d’éviter d’être détecter. Au moment de la publication, les systèmes ESET avaient détecté sept versions différentes de composants du chargeur et deux version de l’installateur, alors que la fonctionnalité était restée inchangée.

L’analyse technique et plus de détails au sujet des connexions se trouvent dans le livre blanc Okrum and Ketrican: An overview of recent Ke3chang group activity et le blog post Okrum: Ke3chang group targets diplomatic missions sur WeLiveSecurity.com.

 

A propos d’ESET

Depuis 30 ans,ESET® développe des logiciels et des services de sécurité IT de pointe destinés aux entreprises et aux consommateurs, partout dans le monde. Avec des solutions allant de la sécurité des terminaux et des mobiles jusqu’à des solutions de chiffrement et d’authentification à deux facteurs, les produits conviviaux et hautement performants d’ESET confère aux consommateurs et aux entreprises la tranquillité d’esprit nécessaire pour pleinement tirer parti des potentiels de leurs technologies. ESET assure une protection et une surveillance discrète 24 h sur 24, mettant les solutions de protection à jour en temps réel afin de garantir la sécurité des utilisateurs et les activités des entreprises, sans la moindre interruption. Les menaces en constante évolution requièrent une société spécialisée en sécurité IT qui soit elle-même évolutive. S’appuyant sur ses divers centres R&D de par le monde, ESET est la première société de sécurité IT à avoir décroché 100 récompenses Virus Bulletin VB100 et ayant identifié, sans exception, tous les malwares en circulation et ce, sans interruption depuis 2003. Pour toute information complémentaire, consultez le site www.eset.com ou suivez-nous sur LinkedInFacebook et Twitter.

INFORMATION PRESSE

Vous désirez plus d’informations sur ESET ou tester un produit ? Contactez :

MGK Technologies

+352  26 18 51

www.eset.com/be-fr

Key Communications
Catherine d’Adesky / Louise Biron
+32 (0)475 48 62 68
+32 (0)2 230 40 72
catherine@keycommunications.be

louise@keycommunications.be
www.keycommunications.be

Si vous ne désirez plus recevoir de communiqués d’ESET, faites le savoir à louise@keycommunications.be