Le Lab F-Secure découvre NanHaiShu
Le laboratoire F-Secure a dévoilé au mois d’août un nouveau malware, baptisé NanHaiShu, qui vise principalement les entités du conflit opposant les Philippines et la Chine sur la Mer de Chine méridionale. Il s’agit d’un nouveau cheval de Troie, probablement conçu par des développeurs chinois compte tenu des spécificités du code, qui grâce à un accès à distance, permet aux pirates d’exfiltrer des données à partir des machines infectées.
Quelles cibles sont concernées par NanHaishu ?
Erka Koivunen, Cyber Security Advisor chez F-Secure explique :
Ce malware avancé, persistant, est étroitement lié aux procédures juridiques ayant cours entre les Philippines et la Chine sur la Mer de Chine méridionale. Les organisations ciblées sont toutes impliquées dans cette affaire. Ce n’est pas tout : l’apparition de ce malware coïncide, chronologiquement parlant, avec l’évolution de la procédure d’arbitrage et les informations publiées à ce sujet.
Parmi les organisations visées, identifiées dans le rapport F-Secure, figurent : le ministère de la Justice des Philippines (impliqué dans la procédure d’arbitrage face à la Chine), les organisateurs du sommet de l’APEC –Coopération économique pour l’Asie-Pacifique –, qui s’est tenu aux Philippines en novembre 2015, et un cabinet juridique d’envergure internationale.
Tout porte à croire que ce malware cible également les organisations publiques et les entreprises intervenant en Asie du Sud, plus spécifiquement sur le territoire du conflit en question.
Comment se déroulent les attaques NanHaishu ?
NanHaiShu se diffuse par des emails de phishing extrêmement ciblés et personnalisés, spécialement rédigés pour piéger des cibles choisies. La pièce jointe contient une macro malveillante, exécutant un fichier intégré en JavaScript dans Microsoft Office. Une fois installé sur la machine, NanHaiShu envoie des informations présentes sur la machine infectée vers un serveur à distance : le pirate peut ainsi télécharger les fichiers de son choix.
Cela tend à prouver (une fois de plus), que les pirates utilisant NanHaiShu savent exactement comment atteindre leurs cibles : pas uniquement en procédant à du spear-phishing pour faire ouvrir les pièces jointes malicieuses à leurs destinataires mais en ayant conçu un malware efficace sur des cibles utilisant Microsoft Office configuré par défaut, une faille devenue très répandue dans les organisations et exploitée dans bon nombre de cyber attaques.
Pour cela, ils utilisent l’information comme une véritable arme de guerre pour piéger leurs cibles, en suivant par exemple l’actualité méticuleusement. Des chercheurs ont mis en évidence l’inspiration probable des Dukes durant la crise ukrainienne dans la conception du malware NanHaiShu. Le procédé mis en avant dans cette vidéo diffusée par les Dukes est en effet très similaire à NanHaiShu.
Une autre technique utilisée par ces attaquants est la dissimulation de leur trafic dans des services de confiance. Plus précisément ils utilisent des fournisseurs de DNS dynamiques pour se répandre via internet. Selon Microsoft plus de 245 malware utiliseraient cette parade…
Comment se défendre d’une attaque NanHaiShu ?
Désactiver les macros
- Pour les utilisateurs qui n’ont pas besoin d’utiliser les macros, désactiver toutes les macros avec notification, cela empêchera les macros de se lancer automatiquement lors de l’ouverture d’un document.
- Pour ceux qui en ont besoin, utiliser la fonctionnalité « Emplacement approuvé » et/ou signer numériquement les macros autorisées.
- Dans Microsoft Office 2016, vous pouvez bloquer les macros de tous les documents provenant d’internet (Word, Excel et PowerPoint). Cette fonctionnalité a été ajoutée en réponse à la recrudescence des macro-malware.
Limiter les accès de sortie sur internet
Limiter les requêtes DNS sortantes provenant des postes de travail de l’organisation en configurant le pare-feu, autorisant ainsi les postes à envoyer des requêtes DNS aux serveurs DNS de l’organisation uniquement.
Mettre en place une protection efficace : protection des postes et protection des serveurs
Paramétrez votre antispam de sorte qu’il n’autorise pas :
- Les emails suspects ne provenant pas de l’organisation ou provenant de fournisseurs d’emails gratuits ;
- Les messages contenant des pièces jointes de types ZIP, DOC, DOCX, XLS, XLSX et PPSX ;
- Les messages contenant des pièces jointes de type fichier EXE.
Catégories