{"id":1683,"date":"2023-02-28T17:38:48","date_gmt":"2023-02-28T17:38:48","guid":{"rendered":"https:\/\/cycuri.com\/?p=1683"},"modified":"2023-02-28T17:41:41","modified_gmt":"2023-02-28T17:41:41","slug":"des-chercheurs-partagent-de-nouvelles-informations-sur-les-operations-du-logiciel-malveillant-rig-exploit-kit","status":"publish","type":"post","link":"https:\/\/cycuri.com\/des-chercheurs-partagent-de-nouvelles-informations-sur-les-operations-du-logiciel-malveillant-rig-exploit-kit\/","title":{"rendered":"Des chercheurs partagent de nouvelles informations sur les op\u00e9rations du logiciel malveillant RIG Exploit Kit"},"content":{"rendered":"
<\/div>\n

Le kit d’exploitation RIG (EK) a atteint un taux d’exploitation r\u00e9ussi sans pr\u00e9c\u00e9dent de pr\u00e8s de 30 % en 2022, r\u00e9v\u00e8lent de nouvelles d\u00e9couvertes.<\/p>\n\n\n\n

\u00ab\u00a0RIG EK est un programme \u00e0 motivation financi\u00e8re qui est actif depuis 2014\u00a0\u00bb, a d\u00e9clar\u00e9<\/a> la soci\u00e9t\u00e9 suisse de cybers\u00e9curit\u00e9 PRODAFT dans un rapport exhaustif.<\/p>\n\n\n\n

\u00ab\u00a0Bien qu’il n’ait pas encore consid\u00e9rablement modifi\u00e9 ses exploits dans son activit\u00e9 la plus r\u00e9cente, le type et la version des logiciels malveillants qu’ils distribuent changent constamment. La fr\u00e9quence de mise \u00e0 jour des \u00e9chantillons va des mises \u00e0 jour hebdomadaires aux mises \u00e0 jour quotidiennes.\u00a0\u00bb<\/p>\n\n\n\n

Les kits d’exploitation sont des programmes utilis\u00e9s pour distribuer des logiciels malveillants \u00e0 un grand nombre de victimes en tirant parti des failles de s\u00e9curit\u00e9 connues dans les logiciels couramment utilis\u00e9s tels que les navigateurs Web.<\/p>\n\n\n\n

Le fait que RIG EK<\/a> s’ex\u00e9cute en tant que mod\u00e8le de service signifie que les pirates peuvent indemniser financi\u00e8rement l’administrateur de RIG EK pour l’installation de logiciels malveillants de leur choix sur les machines victimes. Les op\u00e9rateurs de RIG EK utilisent principalement la publicit\u00e9 malveillante pour assurer un taux d’infection \u00e9lev\u00e9 et une couverture \u00e0 grande \u00e9chelle.<\/p>\n\n\n\n

En cons\u00e9quence, les visiteurs utilisant une version vuln\u00e9rable d’un navigateur pour acc\u00e9der \u00e0 une page Web contr\u00f4l\u00e9e par un acteur ou \u00e0 un site Web compromis mais l\u00e9gitime sont redirig\u00e9s \u00e0 l’aide d’un code JavaScript malveillant vers un serveur proxy, qui, \u00e0 son tour, communique avec un serveur d’exploitation pour fournir l’exploit de navigateur appropri\u00e9.<\/p>\n\n\n\n

Le serveur d’exploit, pour sa part, d\u00e9tecte le navigateur de l’utilisateur en analysant la cha\u00eene User-Agent et renvoie l’exploit qui \u00ab\u00a0correspond aux versions de navigateur vuln\u00e9rables pr\u00e9d\u00e9finies\u00a0\u00bb.<\/p>\n\n\n\n

\u00ab\u00a0La conception astucieuse du kit d’exploitation lui permet d’infecter les appareils avec peu ou pas d’interaction de la part de l’utilisateur final\u00a0\u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab\u00a0Pendant ce temps, son utilisation de serveurs proxy rend les infections plus difficiles \u00e0 d\u00e9tecter.\u00a0\u00bb<\/p>\n\n\n\n

Depuis son arriv\u00e9e sur les lieux en 2014, RIG EK a \u00e9t\u00e9 observ\u00e9 en train de fournir une large gamme de chevaux de Troie financiers, de voleurs et de ran\u00e7ongiciels tels que AZORult<\/a> , CryptoBit<\/a> , Dridex , Raccoon Stealer et WastedLoader. L’op\u00e9ration a \u00e9t\u00e9 durement touch\u00e9e<\/a> en 2017 suite \u00e0 une action coordonn\u00e9e qui a d\u00e9mantel\u00e9 ses infrastructures.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Les r\u00e9centes campagnes RIG EK ont cibl\u00e9 une vuln\u00e9rabilit\u00e9 de corruption de m\u00e9moire impactant Internet Explorer ( CVE-2021-26411<\/a> , score CVSS : 8,8) pour d\u00e9ployer RedLine Stealer.<\/p>\n\n\n\n

Les autres failles de navigateur militaris\u00e9es par le malware incluent CVE-2013-2551<\/a> , CVE-2014-6332<\/a> , CVE-2015-0313<\/a> , CVE-2015-2419<\/a> , CVE-2016-0189<\/a> , CVE-2018-8174<\/a> , CVE-2019-0752<\/a> , et CVE-2020-0674<\/a> .<\/p>\n\n\n\n

Selon les donn\u00e9es recueillies par PRODAFT, 45 % des infections r\u00e9ussies en 2022 ont tir\u00e9 parti de CVE-2021-26411, suivi de CVE-2016-0189 (29 %), CVE-2019-0752 (10 %), CVE-2018-8174 ( 9 %) et CVE-2020-0674 (6 %).<\/p>\n\n\n\n

Outre Dridex, Raccoon et RedLine Stealer, certaines des familles de logiciels malveillants notables distribu\u00e9es \u00e0 l’aide de RIG EK sont SmokeLoader , PureCrypter , IcedID , ZLoader , TrueBot , Ursnif et Royal ransomware .<\/p>\n\n\n\n

De plus, le kit d’exploitation aurait attir\u00e9 du trafic en provenance de 207 pays, affichant un taux de r\u00e9ussite de 22 % au cours des deux derniers mois seulement. Le plus grand nombre de compromis se situent en Russie, en \u00c9gypte, au Mexique, au Br\u00e9sil, en Arabie saoudite, en Turquie et dans plusieurs pays d’Europe.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

\u00ab\u00a0Il est int\u00e9ressant de noter que les taux d’essais d’exploitation \u00e9taient les plus \u00e9lev\u00e9s mardi, mercredi et jeudi – avec des infections r\u00e9ussies ayant lieu les m\u00eames jours de la semaine\u00a0\u00bb, ont expliqu\u00e9 les chercheurs.<\/p>\n\n\n\n

PRODAFT, qui a \u00e9galement r\u00e9ussi \u00e0 obtenir une visibilit\u00e9 sur le panneau de configuration du kit, a d\u00e9clar\u00e9 qu’il y avait environ six utilisateurs diff\u00e9rents, dont deux (admin et vipr) ont des privil\u00e8ges d’administrateur. Un profil utilisateur avec l’alias \u00ab\u00a0pit\u00a0\u00bb ou \u00ab\u00a0pitty\u00a0\u00bb a des autorisations de sous-administrateur, et trois autres (lyr, ump et test1) ont des privil\u00e8ges d’utilisateur.<\/p>\n\n\n\n

\u00ab\u00a0admin\u00a0\u00bb est \u00e9galement un utilisateur factice principalement r\u00e9serv\u00e9 \u00e0 la cr\u00e9ation d’autres utilisateurs. Le panneau de gestion, qui fonctionne avec un abonnement, est contr\u00f4l\u00e9 \u00e0 l’aide de l’utilisateur \u00ab\u00a0pitty\u00a0\u00bb.<\/p>\n\n\n\n

Cependant, une erreur de s\u00e9curit\u00e9 op\u00e9rationnelle qui a expos\u00e9 le serveur git a conduit PRODAFT \u00e0 anonymiser deux des acteurs de la menace. Il a \u00e9galement \u00e9valu\u00e9 avec une grande confiance que le d\u00e9veloppeur du logiciel malveillant Dridex entretient une \u00ab\u00a0relation \u00e9troite\u00a0\u00bb avec les administrateurs de RIG EK, en raison des \u00e9tapes de configuration manuelle suppl\u00e9mentaires prises pour \u00ab\u00a0s’assurer que le logiciel malveillant a \u00e9t\u00e9 distribu\u00e9 sans heurts\u00a0\u00bb.<\/p>\n\n\n\n

\u00ab\u00a0Dans l’ensemble, RIG EK g\u00e8re une activit\u00e9 tr\u00e8s fructueuse d’exploit en tant que service, avec des victimes \u00e0 travers le monde, un arsenal d’exploit tr\u00e8s efficace et de nombreux clients avec des logiciels malveillants constamment mis \u00e0 jour\u00a0\u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n","protected":false},"excerpt":{"rendered":"

Le kit d’exploitation RIG (EK) a atteint un taux d’exploitation r\u00e9ussi sans pr\u00e9c\u00e9dent de pr\u00e8s de 30 % en 2022, r\u00e9v\u00e8lent de nouvelles d\u00e9couvertes. \u00ab\u00a0RIG EK est un programme \u00e0 motivation financi\u00e8re qui est actif depuis 2014\u00a0\u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 suisse de cybers\u00e9curit\u00e9 PRODAFT dans un rapport exhaustif. \u00ab\u00a0Bien qu’il n’ait pas encore consid\u00e9rablement modifi\u00e9 […]<\/p>\n","protected":false},"author":1,"featured_media":1684,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[48,55,36],"tags":[49,93],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1683"}],"collection":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/comments?post=1683"}],"version-history":[{"count":4,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1683\/revisions"}],"predecessor-version":[{"id":1690,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1683\/revisions\/1690"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media\/1684"}],"wp:attachment":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media?parent=1683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/categories?post=1683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/tags?post=1683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}