Détection du Cheval de Troie FoxBlade : Microsoft révèle un nouveau malware destructeur ciblant l’infrastructure ukrainienne
Table des matières :
Le 23 février 2022, avant l’invasion offensive de la Russie en Ukraine, une nouvelle vague de menaces numériques a frappé l’Ukraine juste après une avalanche de cyberattaques impliquant des effaceurs de données WhisperGate and HermeticWiper les souches de logiciels malveillants ciblant les entités ukrainiennes. Le Microsoft Security Intelligence Center a découvert une série d’attaques utilisant un nouveau malware FoxBlade ciblant plusieurs secteurs, y compris la finance, l’agriculture, les services d’intervention d’urgence, le secteur de l’énergie, et une large gamme d’entreprises — visant à déstabiliser complètement l’infrastructure civile et informatique du pays. Les efforts cybernétiques visaient à voler un large éventail de données sensibles et des ensembles de données gouvernementales.
Détection et atténuation des malwares FoxBlade
Pour détecter l’activité suspecte associée au malware FoxBlade, vous pouvez télécharger quelques règles Sigma créées par notre développeur Threat Bounty, Osman Demir. Les deux règles sont disponibles sur la plateforme SOC Prime’s Detection as Code. Les nouveaux et actuels utilisateurs peuvent accéder au contenu de détection en s’inscrivant sur la plateforme ou en utilisant leur compte existant :
FoxBlade Malware Targeting Ukraine (via process_creation)
Cette détection possède des traductions pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Nouveau malware FoxBlade utilisé pour cibler l’Ukraine (via registry_event)
Cette détection basée sur Sigma a des traductions pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
Les deux règles sont alignées avec le dernier cadre MITRE ATT&CK® v.10, traitant des techniques de Dégradation de la Défense (T1562) et Évasion Défensive (TA0005), incluant la sous-technique Désactiver ou Modifier les Outils (T1562.001).
Vous pouvez également utiliser des logiciels Microsoft gratuits pour vous défendre de manière proactive contre les attaques FoxBlade et minimiser les risques dans votre infrastructure :
- Windows Defender ou Microsoft Security Essentials pour Windows 7 et Windows Vista
- Microsoft Safety Scanner
Il est également recommandé aux professionnels de la sécurité d’exécuter une analyse complète pour détecter les schémas de comportement malveillant liés au malware FoxBlade et d’autres menaces cachées également.
Les utilisateurs de SOC Prime peuvent obtenir un accès gratuit à l’ensemble du pack de détection pour identifier les cybermenaces liées à la Russie. Inscrivez-vous ou connectez-vous à votre compte SOC Prime actuel, sélectionnez Quick Hunt, et explorez pour rechercher les menaces associées dans votre environnement :
La liste complète des contenus de chasse aux menaces pour les cyberattaques soutenues par la Russie
Analyse FoxBlade
Les premiers détails sur les attaques du cheval de Troie FoxBlade ont été partagés par le Microsoft’s Threat Intelligence Center (MSTIC) le 23 février 2022.
Un malware surnommé FoxBlade est un cheval de Troie léger et un effaceur de données qui a principalement ciblé les services numériques civils en Ukraine. Son algorithme de destruction de données vise à voler des identifiants et des données personnelles. Les attaquants ont principalement exploité une vulnérabilité connue dans Microsoft SQL Server (CVE-2021-1636) de sorte que toutes les machines avec des versions non corrigées de ce dernier pourraient être compromises.
De plus, selon Microsoft, FoxBlade expose l’appareil de la victime à des attaques DDoS sans que le propriétaire en soit informé. Bien que les méthodes d’accès initial soient variées, les chercheurs soulignent qu’au moins une fois, le wiper a été déployé via la Default Domain Policy, ce qui signifie qu’il a probablement eu accès au serveur Active Directory de l’ordinateur infecté.
Certaines analyses supplémentaires sont les suivantes :
- Le malware utilise une exploitation Tomcat qui exécute une commande PowerShell.
- Le chargeur d’effaceur est un fichier .exe signé par un certificat émis à Hermetica Digital Ltd.
- Ce fichier contient des fichiers de pilote 32 bits et 64 bits compressés par l’algorithme de Lempel-Ziv.
- Les fichiers de pilotes sont ensuite signés par un certificat émis à un logiciel légitime EaseUS Partition Master. Les noms des fichiers de pilotes sont générés en utilisant l’identifiant de processus de l’effaceur.
- Enfin, l’effaceur redémarre l’appareil de la victime, endommageant le Master Boot Record (MBR) et le rendant inopérable.
Rejoignez la plateforme SOC Prime’s Detection as Code pour améliorer vos capacités de détection des menaces avec la puissance d’une communauté mondiale d’experts en cybersécurité. Vous pouvez également enrichir l’expertise collaborative en contribuant à l’initiative de crowdsourcing de SOC Prime. Écrivez et soumettez vos règles Sigma, faites-les publier sur une plateforme et recevez des récompenses récurrentes pour votre contribution.
