L’outil chinois SILKLOADER est désormais utilisé par des hackers russes. En documentant ce transfert d’outil, WithSecure révèle les coopérations qui ont lieu dans le monde de la cybercriminalité.
Rueil-Malmaison – 15 mars 2023 : La cybercriminalité est une véritable industrie. Les différents groupes malveillants collaborent et partagent leurs expériences. Il en résulte des menaces toujours plus nombreuses, toujours plus redoutables. Un nouveau rapport de WithSecure™ (anciennement connu sous le nom de F-Secure business) illustre ce phénomène. Il documente la migration du cyberoutil SILKLOADER - utilisé à l'origine par des cybercriminels chinois - vers des gangs de ransomware russes.
Les chercheurs de WithSecure™ ont identifié SILKLOADER pour la première fois lors d’une attaque contre un organisme de protection sociale en France. Selon le rapport, cet outil serait utilisé dans des attaques depuis, au moins, début 2022.
Avant l'été 2022, SILKLOADER était exclusivement utilisé par des cybercriminels chinois contre des cibles situées en Asie orientale, principalement à Hong Kong et en Chine. L'activité de SILKLOADER avait cependant cessé en juillet.
Jusqu'en septembre, cet outil n'avait plus été observé. Il est ensuite réapparu dans des attaques menées contre plusieurs pays, notamment Taïwan, le Brésil et la France.
Les chercheurs de WithSecure™ en ont conclu que SILKLOADER avait migré vers l'écosystème de cybercriminalité russe. Il est probable que les cybercriminels chinois aient vendu cet outil à leurs homologues russes.
« Selon nous, SILKLOADER est probablement vendu en « outil prêt à l'emploi » à des groupes de ransomware russes par le biais d'un programme Packer-as-a-Service. Il se peut aussi que SILKLOADER soit distribué via des groupes proposant Cobalt Strike/Infrastructure-as-a-Service à des affiliés de confiance. Quoi qu'il en soit, nous avons observé l'utilisation de cet outil dans des opérations malveillantes évoquant les prémisses d'attaques par ransomware », explique Mohammad Kazem Hassan Nejad, Intelligence Researcher chez WithSecure™. « La plupart des groupes concernés semblent avoir noué des échanges avec d’anciens membres du groupe CONTI, ou avec des cybergangs nés après la fermeture présumée de ce groupe. »
SILKLOADER appartient à la catégorie des « loaders ». Il exploite une technique connue sous le nom de DLL sideloading : en exploitant le lecteur VLC Media, il lance des balises Cobalt Strike sur les ordinateurs ciblés. Ces balises permettent aux hackers d'accéder aux appareils infectés de manière pérenne, et donc de s'en servir ultérieurement.
Selon Hassan Nejad, ce loader a été conçu pour masquer les balises Cobalt Strike afin qu'elles puissent échapper aux mécanismes de protection. « Les balises Cobalt Strike sont très bien connues et sont la plupart du temps détectées sans problème. Cependant, en complexifiant le contenu du fichier et en le lançant via une application comme VLC Media Player via un sideloading, les hackers entendent contourner les mécanismes de défense mis en place » poursuit-il.
Lutte contre la cybercriminalité
Ce loader semble donc être disponible en tant qu'outil as-a-service par différents groupes. Selon Paolo Palumbo, vice-président de WithSecure™ Intelligence, cette situation montre à quel point il est difficile de lutter contre le partage de techniques et outils de piratage.
« Les hackers collaborent pour acquérir de nouvelles technologies. Ils peuvent ainsi adapter plus rapidement leurs opérations et mieux contourner les outils de protection. Il est difficile d'associer des ressources à un groupe spécifique ou à un mode opératoire particulier. Mais puisque les différents groupes partagent leurs outils, nous pouvons lutter contre plusieurs groupes à la fois, en créant des stratégies capables de neutraliser toutes ces ressources qu'ils mettent en commun », a déclaré Paolo Palumbo.
WithSecure™ Elements et WithSecure™ Countercept Managed Detection and Response ont détecté plusieurs fois SILKLOADER et ses activités connexes. Pour plus d’informations sur ces solutions, rendez-vous à l'adresse suivante : https://www.withsecure.com/en/solutions
Pour une description complète de SILKLOADER et de ses indicateurs de compromission, rendez-vous sur : https://labs.withsecure.com/publications/silkloader
Relations médias WithSecure™
Françoise Amon KOUTOUA
06 43 62 98 12
L’Agence RP
Justine Boiramier - justine@lagencerp.com - 06 50 31 86 24
Lucille Lavigne – lucille@lagencerp.com
Mélina Dahmane – melina@lagencerp.com
À propos de WithSecure™
WithSecure™ est le partenaire européen de référence en matière de cybersécurité depuis plus de 30 ans. Nous accompagnons les fournisseurs de services informatiques, les MSSP et des multinationales, qui nous font confiance, à travers des modèles commerciaux flexibles et adaptés au marché. Nous leur fournissons une cybersécurité axée sur les résultats, pour les protéger en toutes circonstances et garantir le bon fonctionnement de leurs activités. Notre protection basée sur l'IA sécurise les endpoints et protège les environnements cloud. Nos outils intelligents de détection et de réponse sont pilotés par des experts qui identifient les risques, assurent une recherche proactive des menaces et neutralisent les attaques en temps réel. Un service de consulting expert est également disponible pour les entreprises qui souhaitent renforcer leur résilience.
WithSecure™, anciennement F-Secure Corporation, a été fondée en 1988 et est cotée au NASDAQ OMX Helsinki Ltd.