CERTFR-2015-ALE-012

Vulnerability from certfr_alerte - Published: - Updated:

Depuis la mi-octobre 2015, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Cette vague est similaire à ce qui a déjà pu être observé au mois de juin de cette même année et décrit dans le bulletin d'actualité CERTFR-2015-ACT-024 (

http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-024/index.html

).

Ces pourriels embarquent des documents Microsoft Office contenant des macros VBA malveillantes. Elles ont pour but d'infecter la victime avec un logiciel malveillant connu initialement sous le nom de Dridex.

Ces pourriels sont très souvent rédigés dans un français sans faute. Le sujet et le contenu du pourriel mentionnent des problèmes de facturation, dans la plupart des cas, pour inciter la victime à ouvrir la pièce jointe. Dans certains cas il est aussi fait référence à un document scanné.

Nous avons également pu constater la présence de pourriels rédigés en langue anglaise embarquant des documents Microsoft Excel.

D'après les échantillons que le CERT-FR a observés, le téléchargement de Dridex s'effectue par l'intermédiaire d'une macro VBA ayant pour objectif le téléchargement du binaire à partir d'un serveur malveillant. Il est intéressant de noter que sur la plupart des échantillons aujourd'hui analysés, le téléchargement du binaire s'effectue sur un port HTTP non standard. Cette caractéristique réseau permet de détecter pour cette variante les postes ayant exécuté la macro citée précédemment.

À l'aide les échantillons remontés, le CERT-FR a constaté que les URLs de téléchargement du binaire Dridex sont les suivantes (toutes les URLs suivantes ont été démilitarisées par l'adjonction du suffixe ._BAD_ aux noms de domaines et adresses IP) :

  • http://5.2.199.30_BAD_:8080/uniq/load.php
  • http://84.200.52.52_BAD_:8080/uniq/load.php
  • http://93.170.104.168_BAD_:8080/uniq/load.php
  • http://113.30.152.165_BAD_:8080/uniq/load.php
  • http://113.30.152.167_BAD_:8080/uniq/load.php
  • http://168.243.33.195_BAD_:8080/uniq/load.php
  • http://178.62.7.183_BAD_:8080/uniq/load.php
  • http://195.37.231.2_BAD_:8080/uniq/load.php
  • http://199.175.55.116_BAD_:8080/uniq/load.php
  • http://webmatique.info_BAD_/35436/5324676645.exe
  • http://www.tokushu.co.uk_BAD_/56475865/ih76dfr.exe
  • http://113.30.152.170_BAD_:8180/uniq/load.php
  • http://186.47.80.90_BAD_:8080/images/getimg.php
  • http://117.239.73.244_BAD_:8880/images/getimg.php
  • http://178.33.167.120_BAD_:8880/images/getimg.php
  • http://landprosystems.com_BAD_/34g3f3g/68k7jh65g.exe
  • http://103.252.100.44_BAD_:8880/Citrix/applet.php
  • http://68.169.59.208_BAD_:8880/Citrix/applet.php
  • http://117.239.73.244_BAD_:8880/Citrix/applet.php
  • http://86.34.133.90_BAD_:8180/Citrix/applet.php
  • http://78.129.133.249_BAD_:8880/Citrix/applet.php
  • http://103.252.100.44_BAD_:8880/benzin/ai76.php
  • http://178.32.136.167_BAD_:8880/benzin/ai76.php
  • http://68.169.59.208_BAD_:8880/benzin/ai76.php
  • http://skredman.webz.cz_BAD_/334g5j76/897i7uxqe.exe
  • http://novyzeland2013.webzdarma.cz_BAD_/334g5j76/897i7uxqe.exe
  • http://187.5.6.136_BAD_:8008/sezamstreet/ziliboba.php
  • http://203.172.180.195_BAD_:8008/sezamstreet/ziliboba.php
  • http://1.179.170.7_BAD_:8008/sezamstreet/ziliboba.php
  • http://mgming.rs_BAD_/87yte55/6t45eyv.exe
  • http://www.davidcaballero.com_BAD_/87yte55/6t45eyv.exe
  • http://bbofilinc.com_BAD_/ builder2012/87yte55/6t45eyv.exe
  • http://www.clemenciaortiz.com_BAD_/87yte55/6t45eyv.exe
  • http://sanoko.jp_BAD_/5t546523/lhf3f334f.exe
  • http://aniretak.wz.cz_BAD_/5t546523/lhf3f334f.exe
  • http://piotrektest.cba.pl_BAD_/45yfqfwg/6ugesgsg.exe
  • http://wmdrewniana8.cba.pl_BAD_/45yfqfwg/6ugesgsg.exe
  • http://williamcannady.com_BAD_/345u754/433fd.exe
  • http://hardware-software.xf.cz_BAD_/345u754/433fd.exe

Enfin, les échantillons Dridex ainsi récupérés tentent de communiquer avec les serveurs suivants :

  • 5.63.88.100:4403
  • 5.187.4.183:473
  • 31.29.106.75:443
  • 37.128.132.96:443
  • 41.38.18.230:443
  • 45.55.136.31:473
  • 46.31.43.57:443
  • 67.211.95.228:5445
  • 68.169.54.179:6446
  • 74.208.12.150:444
  • 75.99.13.123:8443
  • 78.243.156.115:444
  • 89.32.145.12:4483
  • 89.189.174.19:444
  • 93.185.75.21:443
  • 103.251.90.43:5445
  • 106.187.38.36:473
  • 107.170.237.112:473
  • 118.174.31.57:444
  • 119.47.112.227:473
  • 124.219.79.244:443
  • 128.199.122.196:6446
  • 130.185.189.81:443
  • 157.252.245.49:473
  • 158.85.92.20:443
  • 162.13.137.236:444
  • 168.187.96.115:443
  • 183.81.166.5:443
  • 185.48.144.4:443
  • 188.21.18.226:443
  • 192.130.75.146:444
  • 193.251.76.63:443
  • 195.154.251.123:473
  • 195.251.250.37:448
  • 198.50.205.130:443
  • 198.74.58.153:5445
  • 200.29.90.162:443
  • 202.129.57.130:443
  • 202.157.171.198:444
  • 217.160.110.232:444
  • 221.132.35.56:8843

Solution

Afin de se protéger contre ce type de menace, les préconisations habituelles sont rappelées :

  • ne pas ouvrir les documents en pièces jointes d'un message électronique non sollicités ;
  • désactiver l'exécution automatique des macros dans les suites bureautiques ;
  • maintenir le système d'exploitation et l'antivirus du poste de travail à jour.

La désactivation de l'exécution automatique des macros Office se paramètre dans le menu suivant :

Fichier / Options / Centre de gestion de la confidentialité / Paramètre du Centre de gestion de la confidentialité / Paramètres des macros / Désactiver toutes les macros avec notifications

Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTous les syst\u00e8mes d\u0027exploitations Windows peuvent \u00eatre  victimes de ce logiciel malveillant.\u003c/P\u003e",
  "closed_at": "2015-11-26",
  "content": "## Solution\n\nAfin de se prot\u00e9ger contre ce type de menace, les pr\u00e9conisations\nhabituelles sont rappel\u00e9es :\n\n-   ne pas ouvrir les documents en pi\u00e8ces jointes d\u0027un message\n    \u00e9lectronique non sollicit\u00e9s ;\n-   d\u00e9sactiver l\u0027ex\u00e9cution automatique des macros dans les suites\n    bureautiques ;\n-   maintenir le syst\u00e8me d\u0027exploitation et l\u0027antivirus du poste de\n    travail \u00e0 jour.\n\nLa d\u00e9sactivation de l\u0027ex\u00e9cution automatique des macros Office se\nparam\u00e8tre dans le menu suivant :\n\nFichier / Options / Centre de gestion de la confidentialit\u00e9 / Param\u00e8tre\ndu Centre de gestion de la confidentialit\u00e9 / Param\u00e8tres des macros /\nD\u00e9sactiver toutes les macros avec notifications\n",
  "cves": [],
  "links": [],
  "reference": "CERTFR-2015-ALE-012",
  "revisions": [
    {
      "description": "version initiale ;",
      "revision_date": "2015-10-23T00:00:00.000000"
    },
    {
      "description": "ajout de marqueurs suppl\u00e9mentaires ;",
      "revision_date": "2015-10-27T00:00:00.000000"
    },
    {
      "description": "ajout de marqueurs suppl\u00e9mentaires ;",
      "revision_date": "2015-11-04T00:00:00.000000"
    },
    {
      "description": "ajout de marqueurs suppl\u00e9mentaires ;",
      "revision_date": "2015-11-18T00:00:00.000000"
    },
    {
      "description": "cl\u00f4ture de l\u0027alerte.",
      "revision_date": "2015-11-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Installation d\u0027un logiciel malveillant de type dridex"
    }
  ],
  "summary": "Depuis la mi-octobre 2015, le CERT-FR constate \u00e0 l\u0027\u00e9chelle nationale une\nvague de pourriels dont le taux de blocage par les passerelles\nanti-pourriel est relativement faible. Cette vague est similaire \u00e0 ce\nqui a d\u00e9j\u00e0 pu \u00eatre observ\u00e9 au mois de juin de cette m\u00eame ann\u00e9e et d\u00e9crit\ndans le bulletin d\u0027actualit\u00e9 CERTFR-2015-ACT-024 (\n\n    http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-024/index.html\n\n).\n\nCes pourriels embarquent des documents Microsoft Office contenant des\nmacros VBA malveillantes. Elles ont pour but d\u0027infecter la victime avec\nun logiciel malveillant connu initialement sous le nom de Dridex.\n\nCes pourriels sont tr\u00e8s souvent r\u00e9dig\u00e9s dans un fran\u00e7ais sans faute. Le\nsujet et le contenu du pourriel mentionnent des probl\u00e8mes de\nfacturation, dans la plupart des cas, pour inciter la victime \u00e0 ouvrir\nla pi\u00e8ce jointe. Dans certains cas il est aussi fait r\u00e9f\u00e9rence \u00e0 un\ndocument scann\u00e9.\n\nNous avons \u00e9galement pu constater la pr\u00e9sence de pourriels r\u00e9dig\u00e9s en\nlangue anglaise embarquant des documents Microsoft Excel.\n\nD\u0027apr\u00e8s les \u00e9chantillons que le CERT-FR a observ\u00e9s, le t\u00e9l\u00e9chargement de\nDridex s\u0027effectue par l\u0027interm\u00e9diaire d\u0027une macro VBA ayant pour\nobjectif le t\u00e9l\u00e9chargement du binaire \u00e0 partir d\u0027un serveur malveillant.\nIl est int\u00e9ressant de noter que sur la plupart des \u00e9chantillons\naujourd\u0027hui analys\u00e9s, le t\u00e9l\u00e9chargement du binaire s\u0027effectue sur un\nport HTTP non standard. Cette caract\u00e9ristique r\u00e9seau permet de d\u00e9tecter\npour cette variante les postes ayant ex\u00e9cut\u00e9 la macro cit\u00e9e\npr\u00e9c\u00e9demment.\n\n\u00c0 l\u0027aide les \u00e9chantillons remont\u00e9s, le CERT-FR a constat\u00e9 que les URLs\nde t\u00e9l\u00e9chargement du binaire Dridex sont les suivantes (toutes les URLs\nsuivantes ont \u00e9t\u00e9 d\u00e9militaris\u00e9es par l\u0027adjonction du suffixe .\\_BAD\\_\naux noms de domaines et adresses IP) :\n\n-   http://5.2.199.30_BAD\\_:8080/uniq/load.php\n-   http://84.200.52.52_BAD\\_:8080/uniq/load.php\n-   http://93.170.104.168_BAD\\_:8080/uniq/load.php\n-   http://113.30.152.165_BAD\\_:8080/uniq/load.php\n-   http://113.30.152.167_BAD\\_:8080/uniq/load.php\n-   http://168.243.33.195_BAD\\_:8080/uniq/load.php\n-   http://178.62.7.183_BAD\\_:8080/uniq/load.php\n-   http://195.37.231.2_BAD\\_:8080/uniq/load.php\n-   http://199.175.55.116_BAD\\_:8080/uniq/load.php\n-   http://webmatique.info_BAD\\_/35436/5324676645.exe\n-   http://www.tokushu.co.uk_BAD\\_/56475865/ih76dfr.exe\n-   http://113.30.152.170_BAD\\_:8180/uniq/load.php\n-   http://186.47.80.90_BAD\\_:8080/images/getimg.php\n-   http://117.239.73.244_BAD\\_:8880/images/getimg.php\n-   http://178.33.167.120_BAD\\_:8880/images/getimg.php\n-   http://landprosystems.com_BAD\\_/34g3f3g/68k7jh65g.exe\n-   http://103.252.100.44_BAD\\_:8880/Citrix/applet.php\n-   http://68.169.59.208_BAD\\_:8880/Citrix/applet.php\n-   http://117.239.73.244_BAD\\_:8880/Citrix/applet.php\n-   http://86.34.133.90_BAD\\_:8180/Citrix/applet.php\n-   http://78.129.133.249_BAD\\_:8880/Citrix/applet.php\n-   http://103.252.100.44_BAD\\_:8880/benzin/ai76.php\n-   http://178.32.136.167_BAD\\_:8880/benzin/ai76.php\n-   http://68.169.59.208_BAD\\_:8880/benzin/ai76.php\n-   http://skredman.webz.cz_BAD\\_/334g5j76/897i7uxqe.exe\n-   http://novyzeland2013.webzdarma.cz_BAD\\_/334g5j76/897i7uxqe.exe\n-   http://187.5.6.136_BAD\\_:8008/sezamstreet/ziliboba.php\n-   http://203.172.180.195_BAD\\_:8008/sezamstreet/ziliboba.php\n-   http://1.179.170.7_BAD\\_:8008/sezamstreet/ziliboba.php\n-   http://mgming.rs_BAD\\_/87yte55/6t45eyv.exe\n-   http://www.davidcaballero.com_BAD\\_/87yte55/6t45eyv.exe\n-   http://bbofilinc.com_BAD\\_/\u00a0builder2012/87yte55/6t45eyv.exe\n-   http://www.clemenciaortiz.com_BAD\\_/87yte55/6t45eyv.exe\n-   http://sanoko.jp_BAD\\_/5t546523/lhf3f334f.exe\n-   http://aniretak.wz.cz_BAD\\_/5t546523/lhf3f334f.exe\n-   http://piotrektest.cba.pl_BAD\\_/45yfqfwg/6ugesgsg.exe\n-   http://wmdrewniana8.cba.pl_BAD\\_/45yfqfwg/6ugesgsg.exe\n-   http://williamcannady.com_BAD\\_/345u754/433fd.exe\n-   http://hardware-software.xf.cz_BAD\\_/345u754/433fd.exe\n\nEnfin, les \u00e9chantillons Dridex ainsi r\u00e9cup\u00e9r\u00e9s tentent de communiquer\navec les serveurs suivants :\n\n-   5.63.88.100:4403\n-   5.187.4.183:473\n-   31.29.106.75:443\n-   37.128.132.96:443\n-   41.38.18.230:443\n-   45.55.136.31:473\n-   46.31.43.57:443\n-   67.211.95.228:5445\n-   68.169.54.179:6446\n-   74.208.12.150:444\n-   75.99.13.123:8443\n-   78.243.156.115:444\n-   89.32.145.12:4483\n-   89.189.174.19:444\n-   93.185.75.21:443\n-   103.251.90.43:5445\n-   106.187.38.36:473\n-   107.170.237.112:473\n-   118.174.31.57:444\n-   119.47.112.227:473\n-   124.219.79.244:443\n-   128.199.122.196:6446\n-   130.185.189.81:443\n-   157.252.245.49:473\n-   158.85.92.20:443\n-   162.13.137.236:444\n-   168.187.96.115:443\n-   183.81.166.5:443\n-   185.48.144.4:443\n-   188.21.18.226:443\n-   192.130.75.146:444\n-   193.251.76.63:443\n-   195.154.251.123:473\n-   195.251.250.37:448\n-   198.50.205.130:443\n-   198.74.58.153:5445\n-   200.29.90.162:443\n-   202.129.57.130:443\n-   202.157.171.198:444\n-   217.160.110.232:444\n-   221.132.35.56:8843\n",
  "title": "Campagne de messages \u00e9lectroniques non sollicit\u00e9s de type Dridex",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.