Focus sur APT36 : Une Menace Cybernétique Croissante
BlackBerry a récemment fait état des activités d’un groupe cybercriminel, APT36, également connu sous le nom de Transparent Tribe.
Lié supposément au Pakistan, ce groupe cible principalement les secteurs gouvernemental, de la défense et aérospatial en Inde.
Parmi les nombreux outils utilisés par ce groupe, un ressort particulièrement : le projet open source Discord-C2, qui utilise la plateforme Discord pour exécuter des commandes malveillantes.
Discord-C2 : Le Cheval de Troie de Transparent Tribe
L’une des méthodes d’attaque d’APT36 implique l’usage d’une archive zip contenant un fichier ELF (Executable and Linkable Format).
Alors que ce fichier semble innocent car il affiche un PDF anodin, il télécharge simultanément en arrière-plan une autre instance d’ELF, précisément un fork de Discord-C2.
Comme l’explique SentinelOne, Discord-C2 se sert de Discord, une plateforme de messagerie largement utilisée, comme une infrastructure de commande et de contrôle (C2) pour envoyer des directives malicieuses aux machines infectées.
Rendant l’attaque particulièrement insidieuse, Discord-C2 utilise des émojis pour communiquer des commandes.
Volexity, une entreprise américaine spécialisée en sécurité informatique, a remarqué que l’émoji 🏃♂️ permet d’exécuter une commande sur la machine infectée, 📸 capture d’écrans, et 🦊 crée une archive zip de tous les profils Firefox présents sur l’ordinateur.
Cette utilisation astucieuse des émojis rend l’interaction entre le malware et ses serveurs de commande plus discrète et moins susceptible d’être détectée.
DISGOMOJI : Une Version Sophistiquée
La variante nommée DISGOMOJI cible en particulier les agences gouvernementales indiennes et s’avère plus sophistiquée.
Un de ses vecteurs d’attaque télécharge non seulement un PDF, mais aussi un JPEG, suivi d’exécutions de scripts améliorant sa persistance via les entrées XDG autostart.
La persistance est renforcée par des modifications du fichier crontab, qui assure un redémarrage automatique constant du malware.
DISGOMOJI est capable de vérifier la présence de périphériques USB et d’en extraire des fichiers vers un dossier local en toute discrétion.
Le malware signale également l’état des commandes en utilisant les émojis 🕐 pour « traitement en cours » et ✅ pour « action complétée ».
Récemment, des mesures ont été introduites pour empêcher l’exécution simultanée de diverses instances, et des chaînes de caractères ont été ajoutées pour camoufler les fichiers malveillants.
Sophistication et Persistance : Une Menace Sérieuse
Les tactiques de DISGOMOJI illustrent une évolution technique continue, visant à déjouer les procédés de détection classiques tout en augmentant sa résilience contre les tentatives d’éradication.
L’infrastructure de DISGOMOJI affirme un fort lien avec un groupe cybercriminel pakistanais, souligné par des détails comme le fuseau horaire du Pakistan dans un échantillon analysé ou l’utilisation de la langue pendjabi dans certains éléments de codage.
Les menaces comme celles lancées par Transparent Tribe soulignent l’importance de maintenir des mesures de sécurité fraîches et agressives.
La communauté de cybersécurité, plus que jamais, doit observer avec attention l’évolution des outils comme Discord-C2 et DISGOMOJI, et réagir avec une vigilance et des stratégies de protection adaptées face aux menaces de sécurité cybernétiques présentes et futures.
En somme, face à la montée de la sophistication des malwares comme DISGOMOJI et leur usage innovant de plateformes communes telles que Discord, les défis sont de taille.
Ces attaques nous rappellent combien il est crucial de rester alerte et d’adapter sans cesse nos mécanismes de défense pour contrer une menace en constante mutation.
Risques En Terre Technologique Hostile
L’utilisation par APT36 de Discord-C2 et sa variante DISGOMOJI représente un risque majeur pour les entreprises et les institutions gouvernementales.
Le principal danger réside dans la capacité du malware à passer inaperçu grâce à l’utilisation de plateformes courantes comme Discord et des émojis pour ses commandes, rendant sa détection et son analyse plus complexes.
En cas de compromission, les organisations pourraient subir des pertes de données sensibles, une interruption de leurs opérations et des coûts financiers substantiels liés à la remédiation de la menace et à la gestion des conséquences.
Fortifier Votre Défense Contre DISGOMOJI
Pour se protéger contre des menaces comme DISGOMOJI, il est recommandé de mettre en place des solutions de sécurité robustes, telles que les systèmes de détection d’anomalies sur les réseaux et les points de terminaison.
Veillez à la mise à jour régulière des logiciels de sécurité et à l’application de correctifs de sécurité.
Sensibilisez vos employés aux techniques de phishing et d’ingénierie sociale pour éviter l’ouverture de fichiers suspects.
Enfin, la surveillance continue des activités réseau, couplée à l’application de politiques de sécurité strictes, est indispensable pour anticiper et contrer ces attaques sophistiquées.
