Un acteur de la menace auparavant inconnu surnommé NewsPenguin a été lié à une campagne de phishing ciblant des entités pakistanaises en tirant parti de la prochaine exposition maritime internationale comme leurre.
« L’attaquant a envoyé des e-mails de phishing ciblés avec un document armé en pièce jointe qui prétend être un manuel d’exposition pour PIMEC-23 », a déclaré l’équipe de recherche et de renseignement de BlackBerry.
PIMEC, abréviation de Pakistan International Maritime Expo and Conference, est une initiative de la marine pakistanaise et est organisée par le ministère des Affaires maritimes dans le but de « relancer le développement du secteur maritime ». Il devrait se tenir du 10 au 12 février 2023.
La société canadienne de cybersécurité a déclaré que les attaques sont conçues pour cibler des entités liées à la marine et les visiteurs de l’événement en incitant les destinataires du message à ouvrir le document Microsoft Word apparemment inoffensif.
Une fois le document lancé, une méthode appelée injection de modèle à distance est utilisée pour récupérer la charge utile de l’étape suivante à partir d’un serveur contrôlé par un acteur qui est configuré pour renvoyer l’artefact uniquement si la demande est envoyée à partir d’une adresse IP située au Pakistan.
BlackBerry a déclaré avoir découvert que le serveur hébergeait deux fichiers d’archive ZIP sans aucune protection par mot de passe, dont l’un comprend un exécutable Windows (updates.exe) qui fonctionne comme un outil d’espionnage secret capable de contourner les bacs à sable et les machines virtuelles.
Dmitry Bestuzhev, chercheur sur les menaces chez BlackBerry, a déclaré à breachtrace que la porte dérobée a été écrite à partir de zéro d’une manière adaptée à cette campagne.
« L’acteur de la menace derrière cela a fait un effort particulier pour voler sous le radar en n’étant pas détecté », a déclaré Bestuzhev. « Par exemple, entre chaque demande, il y a un délai de cinq minutes. C’est pour diminuer le risque d’être découvert. »
« L’implant comprend des commandes d’auto-suppression en cas d’exposition ou lorsque l’opération est finalisée. Il contient également des commandes pour le transfert de données, la suppression d’autres fichiers et l’exécution/l’exécution d’autres applications dans le système de la victime. Il recherche des fichiers dans le système, rassemble des informations à leur sujet et les télécharge sur le serveur distant si les fichiers sont intéressants. Il est conçu pour voler des fichiers sensibles sur le disque de la victime.
De plus, le contenu du binaire est crypté avec l’algorithme de cryptage XOR, où la clé XOR est « pingouin ». La réponse HTTP contenant la porte dérobée est également fournie avec le paramètre de nom dans l’en-tête de réponse Content-Disposition défini sur « getlatestnews ».
Le nom NewsPenguin fait référence à la clé XOR peu commune et au paramètre de nom, BlackBerry ne trouvant aucun chevauchement tactique qui relie le malware à un acteur ou groupe de menace actuellement connu.
Une analyse du domaine hébergeant les charges utiles montre qu’il est enregistré depuis le 30 juin 2022, indiquant un certain niveau de planification préalable pour la campagne tout en prenant simultanément des mesures pour itérer son ensemble d’outils.
« Comme la cible est un événement organisé par la marine pakistanaise, cela implique que l’acteur de la menace cible activement les organisations gouvernementales, plutôt que d’être une attaque à motivation financière », a déclaré BlackBerry.
« Il semble que le but de cette campagne soit de trouver et de voler les fichiers les plus intéressants contenant des informations sur le thème de la conférence, le réseautage des personnes et les technologies qui y sont présentées », a ajouté Bestuzhev.