Quarkslab reposted this
CEO@Quarkslab - I turn people into leaders by unlocking their potential - Founder of MISC magazine, SSTIC conference and 2-3 other cyber stuffs
Supply chain attack + vol de certificat =💥 Ou quand la Justice sert du malware à l’insu de son plein gré. fffmpeg, vous connaissez ? Celui que vous connaissez, c’est ffmpeg, avec 2 f, pas 3. fffmpeg est un dropper, un logiciel qui installe une backdoor. Il a été identifié le 10 mai dans un incident. Pourquoi ce dropper est intéressant ? 1️⃣ Il est téléchargé depuis le site de Justice AV Solutions (JAVS), dans l’installer JAVS.Viewer8.Setup_8.3.7.250-1.exe 2️⃣ Il est signé Authenticode, une technologie MS, tout comme l’installer. JAVS est un éditeur logiciel US fournissant les tribunaux pour enregistrer, lire et gérer l’audio et la vidéo des procédures judiciaires. Ils équipent 10000 clients, aux US, Canada et Afrique principalement. Rien de très original dans ce malware : vol de credentials, etc. L’intérêt réside ailleurs, dans l’opération elle-même. 🎁 L’inconnu : la distribution Avoir un malware, c’est bien le distribuer, c’est mieux ! C’est ce que se dit l’attaquant. Un certificat et un site web légitime qui propose le malware, c’est la fête. Et là, on ne sait rien pour le moment de comment JAVS.Viewer8.Setup_8.3.7.250-1.exe s’est retrouvé sur le site de l’éditeur. Mais opérationnellement, c’est bien joué : -il est signé -les cibles le récupère depuis un site est légitime (c’est quand même un partenaire de la Justice.) On l’installe en confiance. 🪧 Une signature kivabien fffmpeg est signé par une “Vanguard Tech Limited” avec les outils MS habituels. Les autres logiciels de JAVS sont signés par “Justice AV Solutions Inc.”. Bizarre ? Ben oui ! Ce fichier en récupère d’autres depuis le centre de commandement (C2) du malware, chargé par exemple de voler les credentials utilisés par des navigateurs. Vanguard est une société anglaise qui n’a rien à voir avec JAVS. Ils ont dû se faire voler leur certificat par l’attaquant. 🤑 The rise of Infrastructure as a Service On a donc un attaquant qui compromet une boîte pour voler son certificat et signer le malware, et le site d’une autre pour le distribuer. On trouve là une des dernières tendances des méchants : se fondre dans la masse. En ayant l’air légitimes, les attaques passent mieux. En début d’année déjà, et sans doute avant, un tel schéma avait été repéré (voir liens en commentaire). Les programmes sont écrits en Go et Rust, font appel à des endpoint communs sur les serveurs de commandes. Tout cela semble lié à l’acteur ShadowSyndicate. Plutôt que de faire du Ramsomware as a Service, il se spécialiserait dans la fourniture de l’infrastructure sous-jacente : site de distribution et certificat compromis, C2, etc. 🔔 Suivez-moi pour comprendre les enjeux du cyber et rentrer dans la tête des attaquants.