Campagne Emotet

 

En juin 2022, le collectif d’analystes en cybersécurité « the DFIR Report » a observé une nouvelle campagne d’attaque utilisant le logiciel malveillant Emotet pour viser des infrastructures d’entreprises. Durant celle-ci, les attaquants ont maintenu des accès ouverts aux réseaux ciblés pendant près de huit jours ; période durant laquelle ils ont effectué des mouvements latéraux et tenté d’infecter d’autres machines présentes sur le réseau. Les attaquants ont ensuite déployé le rançongiciel Quantum avant d’exfiltrer les données et de chiffrer les machines infectées.

 

Chronologie

Le premier jour de l’attaque, l’accès initial est obtenu à partir d’un fichier LNK exécuté par une victime. Ce fichier exécute des commandes PowerShell et télécharge Emotet. Une fois ce maliciel installé, celui-ci met en place une clef de registre afin de maintenir une persistance sur la machine. Emotet exécute ensuite des commandes Windows légitimes telles que systeminfo, ipconfig et nltest afin d’opérer une reconnaissance de son environnement. De plus, près d’une heure et demie après son exécution, Emotet initie l’envoi d’une série de courriels d’hameçonnage afin d’infecter d’autres postes. Une activité similaire est observée le deuxième jour.

Le troisième jour, l’outil Cobalt Strike est installé sur la première machine infectée. Celui-ci permet aux attaquants de se connecter à distance sur le réseau. De nouvelles commandes (nltest, tasklist et ping) sont exécutées afin d’approfondir la phase de reconnaissance et de latéralisation. Un mouvement latéral est observé avec le transfert d’un exécutable Cobalt Strike via le protocole SMB (Server Message Block) sur une nouvelle machine ainsi que son déploiement par WMI. Sur ce poste, les attaquants analysent en premier lieu le groupe administrateurs de domaine, effectuent ensuite une copie du processus LSASS, puis énumèrent les partages de réseaux SMB jusqu’à trouver un serveur de fichiers.

Le quatrième jour, les attaquants effectuent des mouvements latéraux grâce à des transferts de fichiers SMB et l’utilisation de services à distance. Sur les contrôleurs de domaines, la reconnaissance se poursuit grâce à l’utilisation détournée des fonctionnalités ADFind et ping.

À l’issue de la phase initiale de persistance et reconnaissance, les attaquants déploient sur l’un des serveurs compromis la solution de surveillance et gestion à distance de machines Windows Tactical RMM. À partir de ce serveur, l’outil Rclone est utilisé afin d’exfiltrer les données et de les envoyer vers la solution de stockage Mega.io.

Du cinquième au septième jour, aucune activité probante n’est détectée.

Le huitième et dernier jour, les attaquants mettent en œuvre Tactical RMM afin de déployer Anydesk sur le serveur compromis. Une fois la connexion avec Anydesk établie, un outil de scan de réseau développé par SoftPerfect est déployé et tente une dernière fois d’identifier toutes les machines présentes sur le réseau. Des connexions sont établies vers d’autres machines via RDP afin d’y déposer des fichiers Powertool64.exe et dontsleep.exe. Enfin, l’exécution des fichiers locker.dll et 1.bat permet le lancement du rançongiciel Quantum, déployé via SMB sur l’ensemble des machines.

Pour rappel, le CERT Santé a publié un plan d’action préventif pour réduire le risque de compromission massive de domaines Windows et de sauvegarde en cas d’attaques par rançongiciel (voir le lien en référence).