Prendre d’assaut Microsoft Office

Le ransomware « Storm-0978 » exploite activement une vulnérabilité non corrigée d’exécution de code à distance dans Microsoft Office et Windows HTML.
Jason Hill
4 minute de lecture
Dernière mise à jour 23 février 2024
Document Microsoft Word entouré de nuages orageux

Un réseau cybercriminel connu sous le nom de « Storm-0978 » exploite activement une vulnérabilité non corrigée d’exécution de code à distance dans Microsoft Office et Windows HTML. Cette vulnérabilité zero- day très grave désignée sous le nom de CVE-2023-36884 a obtenu un score CVSS v3.1 de 8,3. Elle a été exploitée par le biais de documents Microsoft Office spécialement conçus que les victimes sont incitées à ouvrir à l’aide d’e-mail frauduleux. 

Ces hackers ciblent les entités gouvernementales et de défense en Europe et en Amérique du Nord en envoyant des e-mails dont l’objet est « Congrès mondial ukrainien » ou « OTAN ». Ils incluent des liens vers un site Web qui héberge des documents frauduleux. 

Une fois que la victime a ouvert le document Office malveillant, les cybercriminels peuvent exécuter du code arbitraire sur les systèmes ciblés. Conséquence : ils peuvent envoyer des charges utiles supplémentaires telles que des chevaux de Troie d’accès distant (RAT) ou des ransomwares. 

Étant donné que cette vulnérabilité n’est pas encore corrigée, d’autres pirates peuvent tenter de lancer des attaques similaires en utilisant des tactiques semblables. Ils peuvent par exemple diffuser des documents destructeurs sous forme de pièces jointes incluses dans des e-mails plutôt que de créer un lien vers un site malveillant. 

À l’heure où nous écrivons cet article, la liste complète des versions vulnérables de Microsoft Office et Windows n’a pas été partagée. Cependant, on estime que les versions récentes d’Office, de Windows et de Word sont concernées.

Planifiez une démonstration personnalisée de 30 minutes avec l'un de nos experts en sécurité.
Voir Varonis en action.

Qui se cache derrière « Storm-0978 » ? 

« Storm-0978 », également connu sous le nom de « RomCom », en raison de son utilisation précédente du RAT du même nom, serait un réseau cybercriminel étroitement lié à la Russie. Il serait actif depuis au moins un an. 

Ayant déjà utilisé des chevaux de Troie de logiciels populaires pour diffuser le RAT RomCom, le groupe a également été associé aux menaces de ransomware « Trigona » et «  Underground ». Ce dernier pourrait être le nouveau nom d’« Industrial Spy ». 

Comme c’est souvent le cas avec des hackers motivés par l’appât du gain, les attaques qui ciblaient les secteurs des télécommunications et de la finance semblaient opportunistes. En revanche, leurs récentes activités semblent davantage ciblées, voire motivées par l’espionnage. 

Recommandations 

En attendant la publication d’une mise à jour de sécurité hors cycle ou dans la publication mensuelle Patch Tuesday, les entreprises doivent suivre les recommandations de Microsoft prodiguées dans leur guide de mise à jour de la sécurité. Ce dernier recommande de mettre en place la règle de réduction de la surface d’attaque « Bloquer toutes les applications Office pour créer des processus enfants » dans Microsoft Defender ou de configurer la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION. 

Lorsqu’elles effectuent ces ajustements, les entreprises doivent prendre en compte les impacts de tout changement de registre, car ceux-ci peuvent affecter les fonctionnalités des applications. Elles doivent également envisager d’adopter une approche proactive en surveillant la publication des mises à jour de sécurité hors cycle.

En outre, il convient d’envisager la mise en œuvre de restrictions d’accès aux domaines et aux adresses IP mentionnées dans la section relative aux indices de compromission (IOC). Cette opération permettra non seulement d’empêcher les utilisateurs d’accéder à des contenus malveillants, mais également de contrer d’éventuelles tentatives de commande et contrôle.

Enfin, si vous soupçonnez une attaque ciblée, analysez minutieusement votre environnement à la recherche des IOC indiqués ci-dessous et agissez immédiatement pour contenir et corriger les menaces identifiées. En suivant ces recommandations, votre entreprise peut renforcer sa posture de sécurité et minimiser l’impact d’éventuelles failles.

Indices de compromission (IOC) 

IOC Type Description

ukrainianworldcongress[.]info 

Domaine 

Imite le nom de domaine légitime ukrainianworldcongress[.]org 

%APPDATA%\Local\Temp\Temp1_<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.zip\2222.chm 

Chemin d’accès au fichier 

Charge utile CHM spécifique à la victime contenant file1.htm, file1.mht, fileH.htm, fileH.mht et INDEX.htm 

104.234.239[.]26 

IPv4 

Hôtes C2 et charges utiles supplémentaires 

213.139.204[.]173 

IPv4 

Se résout à ukrainianworldcongress[.]info 

66.23.226[.]102 

IPv4 

Infrastructure potentielle de Storm-0978 (contenu similaire) 

74.50.94[.]156 

IPv4 

Hôtes C2 et charges utiles supplémentaires 

94.232.40[.]34 

IPv4 

Infrastructure potentielle de Storm-0978 (contenu similaire) 

07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

SHA256 

Deuxième étape du document Microsoft Word malveillant - file001.url 

07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

SHA256 

Deuxième étape du document Microsoft Word malveillant - \\104.234.239[.]26\share1\MSHTML_C7\file001.url 

3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97 

SHA256 

Letter_NATO_Summit_Vilnius_2023_FR.docx - Document frauduleux 

a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f 

SHA256 

Overview_of_UWCs_UkraineInNATO_campaign.docx - Document frauduleux  

ddf15e9ed54d18960c28fb9a058662e7a26867776af72900697400cb567c79be 

SHA256 

Document Word malveillant - hxxp://74.50.94[.]156/MSHTML_C7/doc_dld.asp?filename=<FILENAME.DOC> 

e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539 

SHA256 

afchunk.rtf - Charge utile d’exploit intégrée dans les documents frauduleux 

\\104.234.239[.]26\share1\MSHTML_C7\file001.url 

Chemin UNC 

Deuxième étape du document Word malveillant - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

\\104.234.239[.]26\share1\MSHTML_C7\file001.url 

URL 

Deuxième étape du document Word malveillant - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

hxxp://104.234.239[.]26/share1/MSHTML_C7/1/<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.htm?d=<VICTIM_IP>_<5_CHAR_HEX_ID> 

URL 

Call home utilisé pour générer des charges utiles avec l’adresse IP/l’identifiant de la victime 

hxxp://104.234.239[.]26/share1/MSHTML_C7/1/<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.zip 

URL 

Charge utile générée pour l’adresse IP de la victime 

hxxp://104.234.239[.]26/share1/MSHTML_C7/file001.url 

URL 

Deuxième étape du document Word malveillant - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

hxxp://66.23.226[.]102/MSHTML_C7/start.xml 

URL 

Infrastructure potentielle de Storm-0978 (contenu similaire) 

hxxp://74.50.94[.]156/MSHTML_C7/doc_dld.asp?filename=<FILENAME.DOC> 

URL 

Document Word malveillant - ddf15e9ed54d18960c28fb9a058662e7a26867776af72900697400cb567c79be 

hxxp://74.50.94[.]156/MSHTML_C7/o2010.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Charge utile générée pour l’adresse IP de la victime 

hxxp://74.50.94[.]156/MSHTML_C7/RFile.asp 

URL 

Référencé par start.xml ; charge le contenu généré pour l’IP de la victime 

hxxp://74.50.94[.]156/MSHTML_C7/start.xml 

URL 

Chargement du fichier RFile.asp 

hxxp://74.50.94[.]156/MSHTML_C7/zip_k.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Charge utile générée pour l’adresse IP de la victime 

hxxp://74.50.94[.]156/MSHTML_C7/zip_k2.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Charge utile générée pour l’adresse IP de la victime 

hxxp://74.50.94[.]156/MSHTML_C7/zip_k3.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Charge utile générée pour l’adresse IP de la victime 

hxxp://94.232.40[.]34/MSHTML_C7/start.xml 

URL 

Infrastructure potentielle de Storm-0978 (contenu similaire) 

hxxp://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Letter_NATO_Summit_Vilnius_2023_ENG.docx 

URL 

Document frauduleux 

hxxps://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx 

URL 

Document frauduleux 

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

process-hacker :-présentation-d'un-gestionnaire-de-tâches-avancé
Process Hacker : présentation d'un gestionnaire de tâches avancé
Cet article présente Process Hacker. Cet outil est populaire chez les professionnels de la sécurité qui analysent les malwares, car il indique l’activité en temps réel des processus et fournit une multitude d’informations techniques sur le comportement d’un processus donné.
exfiltration-de-hachages-ntlm-à-l’aide-de-profils-powershell
Exfiltration de hachages NTLM à l’aide de profils PowerShell
Découvrez comment exfiltrer des hachages NTLM à l’aide de PowerShell, de Mimikatz, de Hashcat et d’autres techniques en vous appuyant sur des exemples de code concrets, des guides animés et des captures d’écran.
vmware-esxi-dans-la-ligne-de-mire-des-ransomwares
VMware ESXi dans la ligne de mire des ransomwares
Les serveurs exécutant le célèbre hyperviseur de virtualisation VMware ESXi ont été ciblés par au moins un groupe de ransomwares au cours de la semaine dernière. Ces attaques proviendraient d’un balayage visant à identifier les hôtes présentant des vulnérabilités dans le protocole OpenSLP (Open Service Location Protocol).
empoisonnement-arp-:-qu’est-ce-c’est-et-comment-éviter-l’usurpation-arp
Empoisonnement ARP : qu’est-ce c’est et comment éviter l’usurpation ARP
Dans ce guide sur l’ARP poisoning, nous donnerons plusieurs définitions importantes, nous expliquerons en quoi cela consiste, quelles sont ses différentes formes et nous vous donnerons quelques conseils de prévention.