Détection d’Attaques BlackCat aka ALPHV : Les Hackers Exploitent le Malvertising pour Propager des Logiciels Malveillants et Utilisent SpyBoy Terminator pour Entraver la Protection de Sécurité
Table des matières :
Les chercheurs en cybersécurité ont découvert des traces d’une nouvelle activité malveillante attribuée aux infâmes BlackCat alias gang de ransomware ALPHV. La campagne de l’adversaire implique la distribution de logiciels malveillants via des pages Web clonées d’entreprises légitimes, y compris la page Web d’un service populaire de transfert de fichiers WinSCP. On observe également que BlackCat utilise SpyBoy Terminator à des fins offensives pour entraver la protection anti-malware.
Détection de l’Activité de BlackCat Répandant des Logiciels Malveillants via des Pages Web Clonées
Avec les opérateurs de ransomware BlackCat ajoutant continuellement de nouvelles fonctionnalités néfastes à l’arsenal et cherchant des méthodes d’attaque efficaces, les cyberdéfenseurs nécessitent une source fiable d’algorithmes de détection et d’informations sur les menaces pour résister de manière proactive aux intrusions possibles. Pour détecter l’activité malveillante associée à la dernière campagne de BlackCat (ALPHV), téléchargez un ensemble de règles Sigma dédiées disponibles sur la plateforme SOC Prime.
Tous les algorithmes de détection sont compatibles avec 28 technologies SIEM, EDR et XDR et alignés avec le cadre MITRE ATT&CK v12 pour rationaliser les procédures de chasse aux menaces.
Appuyez sur le bouton Explorer les Détections pour explorer un lot de règles Sigma sélectionnées visant à détecter les attaques de ransomware BlackCat. Toutes les règles sont accompagnées d’une métadonnée riche, y compris des références ATT&CK et CTI. Pour aider les praticiens de la sécurité lors de la recherche de contenu, SOC Prime prend en charge le filtrage par tags « BlackCat« , « ALPHV« , « SpyBoy » selon les titres des échantillons de logiciels malveillants utilisés au cours de la campagne mise en lumière.
BlackCat Utilise le Malvertising comme Vecteur d’Entrée : Nouvelle Analyse d’Attaque
Les notoires affiliés du ransomware ALPHV BlackCat ont attiré une attention significative dans le domaine des menaces cyber depuis mi-novembre 2021 en ciblant une variété de secteurs industriels à travers le monde et en expérimentant avec de multiples TTP et outils offensifs.
Les chercheurs de Trend Micro ont émis un rapport soulignant l’activité récente du gang BlackCat. Dans la dernière campagne, les distributeurs de logiciels malveillants utilisent une technique de malvertising pour propager des souches malveillantes via des pages web clonées de l’application open-source Windows WinSCP. Cette technique de piratage implique la diffusion de publicités malveillantes destinées à inciter les utilisateurs compromis à télécharger certains types de logiciels malveillants.
Les hackers BlackCat ont été observés volant des identifiants pour accéder de manière non autorisée aux réseaux ciblés et accéder au serveur de sauvegarde. Ils ont également utilisé les utilitaires de gestion d’accès à distance pour établir et maintenir une persistance sur le système compromis et ont appliqué le SpyBot Terminator pour contourner la protection EDR et antivirus.
La chaîne d’infection est déclenchée en recherchant le mot-clé « WinSCP Download » via le moteur de recherche Bing avec une publicité malveillante affichée à l’utilisateur ciblé menant au site Web frauduleux. En suivant le lien, l’utilisateur sera redirigé vers une page Web clonée du service légitime WinSCP. En cliquant pour télécharger un fichier ISO se faisant passer pour un installateur d’application légitime, celui-ci propage l’infection plus loin via deux fichiers malveillants, setup.exe et un fichier DLL à chargement différé.
BlackCat a également appliqué un ensemble d’autres outils adverses pour découvrir l’environnement compromis, y compris AdFind qui peut être utilisé pour collecter des informations des environnements Active Directory (AD), l’élévation de privilèges et le vol d’identifiants. Le gang a également utilisé des commandes PowerShell pour collecter des données utilisateur et les stocker dans un fichier CSV. Parmi d’autres outils, ils ont profité d’un ensemble d’utilitaires en ligne de commande, comme AccessChk64 et findstr, et de scripts PowerShell. Pour obtenir des identifiants administratifs et une élévation de privilèges, BlackCat a appliqué des scripts Python malveillants, tandis que des outils tels que PsExec, BitsAdmin et curl ont été utilisés pour télécharger d’autres outils et se déplacer latéralement dans l’environnement compromis.
En exploitant une astuce de malvertising bien connue, les opérateurs du ransomware BlackCat ont réussi à propager l’infection via un site Web douteux se faisant passer pour des installateurs WinSCP. Comptez sur la plateforme SOC Prime pour être pleinement équipé avec du contenu de détection pertinent contre tout TTP utilisé dans les cyberattaques en cours. Accédez aux derniers algorithmes de détection comportementale prêts à être déployés et explorez le contexte pertinent de toute attaque ou menace cybernétique, y compris les zero-days, les références CTI et ATT&CK, et les outils Red Team. Validez la pile de détection soutenue par un audit de données ATT&CK en lecture seule automatique, identifiez les angles morts et traitez-les rapidement pour garantir une visibilité complète des menaces basée sur les journaux spécifiques à l’organisation. Simplifiez les tâches ad hoc avec Sigma et l’autocomplétion ATT&CK, automatisez la traduction de requêtes multi-plateformes, et explorez le contexte pertinent des menaces cybernétiques depuis ChatGPT et la communauté mondiale des cyberdépenseurs pour réduire le temps des opérations SOC.
