Poison Ivy Trojan utilisé dans l'attaque RSA SecurID toujours populaire

Un logiciel malveillant peut-être le plus utilisé pour pirater l'infrastructure SecurID de RSA est toujours utilisé dans des attaques ciblées, selon le fournisseur de sécurité FireEye.

Poison Ivy est un cheval de Troie d'accès à distance (RAT) qui a été publié il y a huit ans mais qui est toujours favorisé par certains pirates, a écrit FireEye dans un nouveau rapport publié mercredi. Il possède une interface Windows familière, est facile à utiliser et peut enregistrer les frappes au clavier, voler des fichiers et des mots de passe.

[L'expert en sécurité Roger A. Grimes propose une visite guidée des dernières menaces et explique ce que vous pouvez faire pour les arrêter dans la vidéo Shop Talk de «Fight Today's Malware». | Tenez-vous informé des problèmes de sécurité clés grâce au blog Security Adviser et à la newsletter Security Central. ]

Étant donné que Poison Ivy est encore si largement utilisé, FireEye a déclaré qu'il était plus difficile pour les analystes de sécurité de lier son utilisation à un groupe de piratage spécifique.

Pour son analyse, la société a collecté 194 échantillons de Poison Ivy utilisés dans des attaques datant de 2008, en examinant les mots de passe utilisés par les attaquants pour accéder aux RAT et aux serveurs de commande et de contrôle utilisés.

Trois groupes, dont l'un semble être basé en Chine, utilisent Poison Ivy dans des attaques ciblées depuis au moins quatre ans. FireEye a identifié les groupes par les mots de passe qu'ils utilisent pour accéder au Poison Ivy RAT qu'ils ont placé sur l'ordinateur d'une cible: admin338, th3bug et menuPass.

Le groupe admin388 aurait été actif dès janvier 2008, ciblant les FAI, les entreprises de télécommunications, les organisations gouvernementales et le secteur de la défense, a écrit FireEye.

Les victimes sont généralement ciblées par ce groupe avec des e-mails de spear-phishing, qui contiennent une pièce jointe Microsoft Word ou PDF malveillante avec le code Poison Ivy. Les e-mails sont en anglais mais utilisent un jeu de caractères chinois dans le corps du message.

La présence de Poison Ivy peut indiquer un intérêt plus perspicace de la part d'un attaquant, car il doit être contrôlé manuellement en temps réel.

"Les RAT sont beaucoup plus personnels et peuvent indiquer que vous avez affaire à un acteur de la menace dédié qui s'intéresse spécifiquement à votre organisation", a écrit FireEye.

Pour aider les organisations à détecter Poison Ivy, FireEye a publié "Calamine", un ensemble de deux outils conçus pour décoder son cryptage et découvrir ce qu'il vole.

Les informations volées sont cryptées par Poison Ivy en utilisant le chiffrement Camellia avec une clé de 256 bits avant d'être envoyées à un serveur distant, a écrit FireEye. La clé de cryptage est dérivée du mot de passe utilisé par l'attaquant pour déverrouiller Poison Ivy.

De nombreux attaquants utilisent simplement le mot de passe par défaut, «admin». Mais si le mot de passe a changé, l'un des outils de Calamine, le script PyCommand, peut être utilisé pour l'intercepter. Un deuxième outil Calamine peut alors décrypter le trafic réseau de Poison Ivy, ce qui peut donner une indication de ce que l'attaquant a fait.

"La calamine ne peut pas arrêter les attaquants déterminés qui utilisent Poison Ivy", avertit FireEye. "Mais cela peut rendre leurs efforts criminels encore plus difficiles."

Envoyez des conseils de nouvelles et des commentaires à [email protected] Suivez-moi sur Twitter: @jeremy_kirk.