certfr_alerte - CERTFR-2020-ALE-019

CERTFR-2020-ALE-019

Vulnerability from certfr_alerte - Published: - Updated:

[mise à jour du 22 septembre 2020]

L'ensemble des échantillons obtenus par l'ANSSI jusqu'à maintenant a permis de comparer ces derniers avec les listes de marqueurs en sources ouvertes référencés dans la section "Moyens de détection relatifs à Emotet".

La fiabilité de ces flux a été assurée et nous vous encourageons à les intégrer dans vos systèmes de détection.

Contrairement aux recommandations indiquées dans la version précédente de cette alerte, il n'est donc plus nécessaire de nous faire parvenir vos échantillons.

[version initiale]

Depuis quelques jours, l’ANSSI constate un ciblage d’entreprises et administrations françaises par le code malveillant Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes.

Caractéristiques du cheval de Troie Emotet

Observé pour la première fois mi-2014 en tant que cheval de Troie bancaire, Emotet a évolué pour devenir un cheval de Troie modulaire. Ses différents modules actuels lui permettent :

de récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes courriel (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail) ;
de dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels ;
de se propager au sein du réseau infecté en tirant parti de vulnérabilités SMB ainsi que des mots de passe récupérés.

Le code malveillant est distribué par le botnet éponyme (lui-même composé de trois groupements de serveurs différents Epoch 1, Epoch 2, Epoch 3, opérés par le groupe cybercriminel TA542) au travers de campagnes massives de courriels d’hameçonnage, souvent parmi les plus volumineuses répertoriées. Ces courriels d’hameçonnage contiennent généralement des pièces jointes Word ou PDF malveillantes, et plus rarement des URL pointant vers des sites compromis ou vers des documents Word contenant des macros.

Ces campagnes d’attaques touchent tous types de secteurs d’activités à travers le monde.

Emotet : loader de codes malveillants tiers

Depuis 2017, Emotet n’est plus utilisé en tant que cheval de Troie bancaire mais distribue, fréquemment au sein des systèmes d’information qu’il infecte, des codes malveillants opérés par des groupes d’attaquants qui sont clients de TA542. Par exemple, les chevaux de Troie bancaires Qbot, Trickbot, IcedID, GootKit, BokBot, Dridex et DoppelDridex peuvent être distribués en tant que seconde charge utile, avec une prédominance en 2020 de Qbot et TrickBot.

En outre, ces derniers peuvent télécharger des rançongiciels au sein du système d’information compromis. C’est par exemple le cas de TrickBot auquel il arrive de télécharger les rançongiciels Ryuk ou Conti.

Ainsi, la détection et le traitement au plus tôt d’un évènement de sécurité lié à Emotet peut prévenir de nombreux types d’attaques, dont celles par rançongiciel avant le chiffrement.

Recrudescence des campagnes d’attaque durant le second semestre 2020

Après une absence de cinq mois, Emotet a refait surface en juillet 2020. Depuis, nombre de ses campagnes d’hameçonnage exploitent une technique de détournement des fils de discussion des courriels (email thread hijacking technique).

Une fois la boîte courriel d’un employé de l’entité victime (ou la boîte courriel générique de l’entité elle-même) compromise, le code malveillant Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces derniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes.

Ces courriels, d’apparence légitime, sont envoyés à des contacts de la victime, et plus particulièrement aux tierces parties de l’entité (clients et prestataires notamment) ayant participé au fil de discussion originel, afin d’accroître leur crédibilité auprès des destinataires.

Outre cette technique, TA542 construit également des courriels d’hameçonnage sur la base d’informations récupérées lors de la compromission des boîtes courriel, qu’il envoie aux listes de contact exfiltrées, ou usurpent plus simplement l’image d’entités, victimes préalables d’Emotet ou non (sociétés de transport, de télécommunication ou encore institutions financières).

Dans tous les cas, il apparaît que les boîtes courriel compromises ne sont pas utilisées pour envoyer des courriels d’hameçonnage mais que ces derniers sont envoyés depuis l’infrastructure des attaquants sur la base d’adresses courriel expéditrices souvent typosquattées.

La France représente une cible des campagnes récentes d’Emotet.

SOLUTION

Moyens de détection relatifs à Emotet

Plusieurs flux existent contenant des indicateurs de compromission actualisés relatifs à Emotet, ce code faisant l’objet de nombreuses investigations dans les secteurs public et privé. Parmi ces flux, https://paste.cryptolaemus.com/ et https://feodotracker.abuse.ch/browse/ représentent des sources fiables qu’il est recommandé d’intégrer dans ses moyens de détection et de blocage.

A noter aussi :

Les chercheurs de Cryptolaemus fournissent notamment des expressions régulières permettant de détecter des liens utilisés dans les courriels malveillants. Ils sont disponibles dans les bulletins quotidiens de l’équipe de chercheurs, dans le paragraphe « Link Regex Report ».

Des règles de détection YARA d’Emotet ont été produites par ReversingLabs : https://github.com/reversinglabs/reversinglabs-yara-rules/blob/develop/yara/trojan/Win32.Trojan.Emotet.yara.
Emocheck, un outil créé par le CERT japonais, permet de détecter la présence du trojan Emotet sur une machine Windows. Emotet utilisant un dictionnaire prédéfini pour le nom de ses processus, ce programme vérifie si un programme en cours d’exécution correspond à ce dictionnaire précis. L’outil est disponible en source ouverte : https://github.com/JPCERTCC/EmoCheck.

Recommandations

Sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros.

Limiter les accès Internet pour l’ensemble des agents à une liste blanche contrôlée.

Déconnecter les machines compromises du réseau sans en supprimer les données.

De manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante. Seule la réinstallation de la machine permet d’assurer l’effacement de l’implant.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Article Proofpoint	2019-05-15	vendor-advisory
Malwarebytes – 2019	-	other
Bleeping Computer – juillet 2020	-	other
Cofense – avril 2019	-	other
Proofpoint – août 2020	-	other
US-CERT – janvier 2020	-	other
JP CERT – décembre 2019	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "",
  "closed_at": "2021-02-09",
  "content": "\u003cstrong\u003e[mise \u00e0 jour du 22 septembre 2020]\u003c/strong\u003e\n\nL\u0027ensemble des \u00e9chantillons obtenus par l\u0027ANSSI jusqu\u0027\u00e0 maintenant a permis de comparer ces derniers avec les listes de marqueurs en sources ouvertes r\u00e9f\u00e9renc\u00e9s dans la section \"Moyens de d\u00e9tection relatifs \u00e0 Emotet\".\n\nLa fiabilit\u00e9 de ces flux a \u00e9t\u00e9 assur\u00e9e et nous vous encourageons \u00e0 les int\u00e9grer dans vos syst\u00e8mes de d\u00e9tection.\n\nContrairement aux recommandations indiqu\u00e9es dans la version pr\u00e9c\u00e9dente de cette alerte, il n\u0027est donc plus n\u00e9cessaire de nous faire parvenir vos \u00e9chantillons.\n\u003cp class=\"western\"\u003e\u003cb\u003e[version initiale]\u003c/b\u003e\u003c/p\u003e\n\u003cp class=\"western\"\u003e\u003cb\u003eDepuis quelques jours, l\u2019ANSSI constate un ciblage d\u2019entreprises et administrations fran\u00e7aises par le code malveillant Emotet. Il convient d\u2019y apporter une attention particuli\u00e8re car Emotet est d\u00e9sormais utilis\u00e9 pour d\u00e9poser d\u2019autres codes malveillants susceptibles d\u2019impacter fortement l\u2019activit\u00e9 des victimes.\u003c/b\u003e\u003c/p\u003e\n\n\u003ch3 class=\"western\"\u003eCaract\u00e9ristiques du cheval de Troie Emotet\u003c/h3\u003e\n\u003cp class=\"western\" align=\"justify\"\u003eObserv\u00e9 pour la premi\u00e8re fois mi-2014 en tant que cheval de Troie bancaire, Emotet a \u00e9volu\u00e9 pour devenir un cheval de Troie modulaire. Ses diff\u00e9rents modules actuels lui permettent :\u003c/p\u003e\n\n\u003cul\u003e\n \t\u003cli\u003e\n\u003cp align=\"justify\"\u003ede r\u00e9cup\u00e9rer les mots de passe stock\u00e9s sur un syst\u00e8me ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et bo\u00eetes courriel (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail) ;\u003c/p\u003e\n\u003c/li\u003e\n \t\u003cli\u003e\n\u003cp align=\"justify\"\u003ede d\u00e9rober la liste de contacts, le contenu et les pi\u00e8ces jointes attach\u00e9es \u00e0 des courriels ;\u003c/p\u003e\n\u003c/li\u003e\n \t\u003cli\u003e\n\u003cp align=\"justify\"\u003ede se propager au sein du r\u00e9seau infect\u00e9 en tirant parti de vuln\u00e9rabilit\u00e9s SMB ainsi que des mots de passe r\u00e9cup\u00e9r\u00e9s.\u003c/p\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp class=\"western\" align=\"justify\"\u003eLe code malveillant est distribu\u00e9 par le botnet \u00e9ponyme (lui-m\u00eame compos\u00e9 de trois groupements de serveurs diff\u00e9rents Epoch 1, Epoch 2, Epoch 3, op\u00e9r\u00e9s par le groupe cybercriminel TA542) au travers de \u003cb\u003ecampagnes massives de courriels d\u2019hame\u00e7onnage\u003c/b\u003e, souvent parmi les plus volumineuses r\u00e9pertori\u00e9es. Ces courriels d\u2019hame\u00e7onnage contiennent g\u00e9n\u00e9ralement des pi\u00e8ces jointes Word ou PDF malveillantes, et plus rarement des URL pointant vers des sites compromis ou vers des documents Word contenant des macros.\u003c/p\u003e\n\u003cp class=\"western\" align=\"justify\"\u003e\u003cb\u003eCes campagnes d\u2019attaques touchent tous types de secteurs d\u2019activit\u00e9s \u00e0 travers le monde.\u003c/b\u003e\u003c/p\u003e\n\n\u003ch3 class=\"western\"\u003eEmotet : loader de codes malveillants tiers\u003c/h3\u003e\n\u003cp class=\"western\" align=\"justify\"\u003eDepuis 2017, Emotet n\u2019est plus utilis\u00e9 en tant que cheval de Troie bancaire mais distribue, fr\u00e9quemment au sein des syst\u00e8mes d\u2019information qu\u2019il infecte, des codes malveillants op\u00e9r\u00e9s par des groupes d\u2019attaquants qui sont clients de TA542. Par exemple, les chevaux de Troie bancaires Qbot, Trickbot, IcedID, GootKit, BokBot, Dridex et DoppelDridex peuvent \u00eatre distribu\u00e9s en tant que seconde charge utile, avec une pr\u00e9dominance en 2020 de Qbot et TrickBot.\u003c/p\u003e\n\u003cp class=\"western\" align=\"justify\"\u003eEn outre, ces derniers peuvent t\u00e9l\u00e9charger des ran\u00e7ongiciels au sein du syst\u00e8me d\u2019information compromis. C\u2019est par exemple le cas de TrickBot auquel il arrive de t\u00e9l\u00e9charger les ran\u00e7ongiciels Ryuk ou Conti.\u003c/p\u003e\n\u003cp class=\"western\" align=\"justify\"\u003e\u003cb\u003eAinsi, la d\u00e9tection et le traitement au plus t\u00f4t d\u2019un \u00e9v\u00e8nement de s\u00e9curit\u00e9 li\u00e9 \u00e0 Emotet peut pr\u00e9venir de nombreux types d\u2019attaques, dont celles par ran\u00e7ongiciel avant le chiffrement.\u003c/b\u003e\u003c/p\u003e\n\n\u003ch3 class=\"western\"\u003eRecrudescence des campagnes d\u2019attaque durant le second semestre 2020\u003c/h3\u003e\n\u003cp class=\"western\" align=\"justify\"\u003eApr\u00e8s une absence de cinq mois, Emotet a refait surface en juillet 2020. Depuis, nombre de ses campagnes d\u2019hame\u00e7onnage exploitent une technique de d\u00e9tournement des fils de discussion des courriels (\u003ci\u003eemail thread hijacking technique\u003c/i\u003e).\u003c/p\u003e\n\u003cp class=\"western\" align=\"justify\"\u003eUne fois la bo\u00eete courriel d\u2019un employ\u00e9 de l\u2019entit\u00e9 victime (ou la bo\u00eete courriel g\u00e9n\u00e9rique de l\u2019entit\u00e9 elle-m\u00eame) compromise, le code malveillant Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces derniers, les attaquants produisent des courriels d\u2019hame\u00e7onnage prenant la forme d\u2019une r\u00e9ponse \u00e0 une cha\u00eene de courriels \u00e9chang\u00e9s entre l\u2019employ\u00e9 et des partenaires de l\u2019entit\u00e9 pour laquelle il travaille. L\u2019objet l\u00e9gitime du courriel d\u2019hame\u00e7onnage est alors pr\u00e9c\u00e9d\u00e9 d\u2019un ou plusieurs \u00ab Re : \u00bb, et le courriel lui-m\u00eame contient l\u2019historique d\u2019une discussion, voire m\u00eame des pi\u00e8ces jointes l\u00e9gitimes.\u003c/p\u003e\n\u003cp class=\"western\" align=\"justify\"\u003eCes courriels, d\u2019apparence l\u00e9gitime, sont envoy\u00e9s \u00e0 des contacts de la victime, et plus particuli\u00e8rement aux tierces parties de l\u2019entit\u00e9 (clients et prestataires notamment) ayant particip\u00e9 au fil de discussion originel, afin d\u2019accro\u00eetre leur cr\u00e9dibilit\u00e9 aupr\u00e8s des destinataires.\u003c/p\u003e\n\u003cp class=\"western\" align=\"justify\"\u003eOutre cette technique, TA542 construit \u00e9galement des courriels d\u2019hame\u00e7onnage sur la base d\u2019informations r\u00e9cup\u00e9r\u00e9es lors de la compromission des bo\u00eetes courriel, qu\u2019il envoie aux listes de contact exfiltr\u00e9es, ou usurpent plus simplement l\u2019image d\u2019entit\u00e9s, victimes pr\u00e9alables d\u2019Emotet ou non (soci\u00e9t\u00e9s de transport, de t\u00e9l\u00e9communication ou encore institutions financi\u00e8res).\u003c/p\u003e\n\u003cp class=\"western\" align=\"justify\"\u003eDans tous les cas, il appara\u00eet que les bo\u00eetes courriel compromises ne sont pas utilis\u00e9es pour envoyer des courriels d\u2019hame\u00e7onnage mais que ces derniers sont envoy\u00e9s depuis l\u2019infrastructure des attaquants sur la base d\u2019\u003cb\u003eadresses courriel exp\u00e9ditrices\u003c/b\u003e \u003cb\u003esouvent\u003c/b\u003e \u003cb\u003etyposquatt\u00e9es\u003c/b\u003e.\u003c/p\u003e\n\u003cp class=\"western\" align=\"justify\"\u003e\u003cb\u003eLa France repr\u00e9sente une cible des campagnes r\u00e9centes d\u2019Emotet.\u003c/b\u003e\u003c/p\u003e\n\n\u003ch2\u003e SOLUTION \u003c/h2\u003e\n\u003ch3 class=\"western\"\u003eMoyens de d\u00e9tection relatifs \u00e0 Emotet\u003c/h3\u003e\n\u003cp class=\"western\" align=\"justify\"\u003ePlusieurs flux existent contenant des indicateurs de compromission actualis\u00e9s relatifs \u00e0 Emotet, ce code faisant l\u2019objet de nombreuses investigations dans les secteurs public et priv\u00e9. Parmi ces flux, \u003cspan style=\"color: #0000ff;\"\u003e\u003cu\u003e\u003ca href=\"https://paste.cryptolaemus.com/\"\u003ehttps://paste.cryptolaemus.com/\u003c/a\u003e\u003c/u\u003e\u003c/span\u003e et \u003cspan style=\"color: #0000ff;\"\u003e\u003cu\u003e\u003ca href=\"https://feodotracker.abuse.ch/browse/\"\u003ehttps://feodotracker.abuse.ch/browse/\u003c/a\u003e\u003c/u\u003e\u003c/span\u003e repr\u00e9sentent des \u003cb\u003esources fiables qu\u2019il est recommand\u00e9 d\u2019int\u00e9grer dans ses moyens de d\u00e9tection et de blocage.\u003c/b\u003e\u003c/p\u003e\n\u003cp class=\"western\"\u003eA noter aussi :\u003c/p\u003e\n\n\u003cul\u003e\n \t\u003cli\u003eLes chercheurs de Cryptolaemus fournissent notamment des expressions r\u00e9guli\u00e8res permettant de d\u00e9tecter des liens utilis\u00e9s dans les courriels malveillants. Ils sont disponibles dans les bulletins quotidiens de l\u2019\u00e9quipe de chercheurs, dans le paragraphe \u00ab Link Regex Report \u00bb.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cul\u003e\n \t\u003cli\u003eDes r\u00e8gles de d\u00e9tection YARA d\u2019Emotet ont \u00e9t\u00e9 produites par ReversingLabs : \u003cspan style=\"color: #0000ff;\"\u003e\u003cu\u003e\u003ca href=\"https://github.com/reversinglabs/reversinglabs-yara-rules/blob/develop/yara/trojan/Win32.Trojan.Emotet.yara\"\u003e\u003cspan style=\"color: #000000;\"\u003ehttps://github.com/reversinglabs/reversinglabs-yara-rules/blob/develop/yara/trojan/Win32.Trojan.Emotet.yara\u003c/span\u003e\u003c/a\u003e\u003c/u\u003e\u003c/span\u003e.\u003c/li\u003e\n \t\u003cli\u003eEmocheck, un outil cr\u00e9\u00e9 par le CERT japonais, permet de d\u00e9tecter la pr\u00e9sence du trojan Emotet sur une machine Windows. Emotet utilisant un dictionnaire pr\u00e9d\u00e9fini pour le nom de ses processus, ce programme v\u00e9rifie si un programme en cours d\u2019ex\u00e9cution correspond \u00e0 ce dictionnaire pr\u00e9cis. L\u2019outil est disponible en source ouverte : \u003cspan style=\"color: #0000ff;\"\u003e\u003cu\u003e\u003ca href=\"https://github.com/JPCERTCC/EmoCheck\"\u003e\u003cspan style=\"color: #000000;\"\u003ehttps://github.com/JPCERTCC/EmoCheck\u003c/span\u003e\u003c/a\u003e\u003c/u\u003e\u003c/span\u003e.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch3 class=\"western\"\u003eRecommandations\u003c/h3\u003e\n\u003cp class=\"western\"\u003eSensibiliser les utilisateurs \u00e0 ne pas activer les macros dans les pi\u00e8ces jointes et \u00e0 \u00eatre particuli\u00e8rement attentifs aux courriels qu\u2019ils re\u00e7oivent et r\u00e9duire l\u2019ex\u00e9cution des macros.\u003c/p\u003e\n\u003cp class=\"western\"\u003eLimiter les acc\u00e8s Internet pour l\u2019ensemble des agents \u00e0 une liste blanche contr\u00f4l\u00e9e.\u003c/p\u003e\n\u003cp class=\"western\"\u003eD\u00e9connecter les machines compromises du r\u00e9seau sans en supprimer les donn\u00e9es.\u003c/p\u003e\n\u003cp class=\"western\"\u003eDe mani\u00e8re g\u00e9n\u00e9rale, une suppression / un nettoyage par l\u2019antivirus n\u2019est pas une garantie suffisante. Seule la r\u00e9installation de la machine permet d\u2019assurer l\u2019effacement de l\u2019implant.\u003c/p\u003e",
  "cves": [],
  "links": [
    {
      "title": "Malwarebytes \u2013 2019",
      "url": "https://www.malwarebytes.com/emotet/)"
    },
    {
      "title": "Bleeping Computer \u2013 juillet 2020",
      "url": "https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-your-email-attachments-to-attack-contacts/"
    },
    {
      "title": "Cofense \u2013 avril 2019",
      "url": "https://cofense.com/emotet-gang-switches-highly-customized-templates-utilizing-stolen-email-content-victims/"
    },
    {
      "title": "Proofpoint \u2013 ao\u00fbt 2020",
      "url": "https://www.proofpoint.com/us/blog/threat-insight/comprehensive-look-emotets-summer-2020-return"
    },
    {
      "title": "US-CERT \u2013 janvier 2020",
      "url": "https://us-cert.cisa.gov/ncas/alerts/TA18-201A"
    },
    {
      "title": "JP CERT \u2013 d\u00e9cembre 2019",
      "url": "https://www.jpcert.or.jp/english/at/2019/at190044.html"
    }
  ],
  "reference": "CERTFR-2020-ALE-019",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-09-07T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour",
      "revision_date": "2020-09-22T00:00:00.000000"
    },
    {
      "description": "retrait de la mention sur la transmission des \u00e9chantillons",
      "revision_date": "2020-09-22T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte.",
      "revision_date": "2021-02-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "",
  "title": "Recrudescence d\u0027activit\u00e9 Emotet en France",
  "vendor_advisories": [
    {
      "published_at": "2019-05-15",
      "title": "Article Proofpoint ",
      "url": "https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta542-banker-malware-distribution-service"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted