It is rare to be able to track the activities of a real cybermercenary threat actor. But we did ;-)
Ladies and gents, please meet Void Balaur.
Full paper here.
mercredi 10 novembre 2021
Par Cedric Pernet le mercredi 10 novembre 2021, 14:13 - APT
It is rare to be able to track the activities of a real cybermercenary threat actor. But we did ;-)
Ladies and gents, please meet Void Balaur.
Full paper here.
vendredi 18 juin 2021
Par Cedric Pernet le vendredi 18 juin 2021, 11:18 - Cybercrime
Hi all,
I just published this quick one about some opportunistic fraudsters pretending to be the DarkSide threat. Enjoy :-)
vendredi 30 avril 2021
Par Cedric Pernet le vendredi 30 avril 2021, 14:43 - Cybercrime
jeudi 3 décembre 2020
Par Cedric Pernet le jeudi 3 décembre 2020, 17:12 - Cybercrime
Hi all,
I wrote this one in English but it definitely targets France :
Scammers Use Home Addresses of Targets in France
UPDATE - 2020/12/08 : An interview given in Le Parisien can be read here :
mardi 6 octobre 2020
Par Cedric Pernet le mardi 6 octobre 2020, 16:51 - Cybercrime
Hi all,
Here is my latest blog post about a clever BEC attack that targets a lot of different companies in France:
French companies Under Attack from Clever BEC Scam
Le Monde newspaper published a very nice French article about it here.
Also, the article from Le Figaro.
jeudi 12 décembre 2019
Par Cedric Pernet le jeudi 12 décembre 2019, 16:26 - APT
Hi all,
I am very proud to provide you with a new paper I wrote in collaboration with my colleague Feike Hacquebord, entitled "Drilling Deep: A Look at Cyberattacks on the Oil and Gas Industry".
I hope you will enjoy it ! :-)
jeudi 13 juin 2019
Par Cedric Pernet le jeudi 13 juin 2019, 14:20 - Cybercrime
Hey there :-)
I just contributed to a new blog post about some cybercriminals using advanced tools to spread a cryptocurrency miner.
The full blog post is here.
Cheers !
vendredi 1 mars 2019
Par Cedric Pernet le vendredi 1 mars 2019, 10:50 - Cybercrime
Well here is a new blog post I published regarding cybercrime, this time mostly around Instagram.
While I have contributed to this blog post, I have to say it was mostly the awesome work of my talented colleague Jindrich. Great work mate ! :-)
jeudi 21 septembre 2017
Par Cedric Pernet le jeudi 21 septembre 2017, 12:39 - Malware
Hi all,
I have written this blog post in collab with my good friends Kenney and Lenart... ;-)
Available HERE.
jeudi 20 juillet 2017
Par Cedric Pernet le jeudi 20 juillet 2017, 09:58 - Malware
Some days ago we published this blog post. It seems that some cybercriminals are heavily using it at the moment to spy audio conversations. I guess it's pretty interesting.
mercredi 14 septembre 2016
Par Cedric Pernet le mercredi 14 septembre 2016, 15:31 - Cybercrime
lundi 29 août 2016
Par Cedric Pernet le lundi 29 août 2016, 14:18 - Cybercrime
Last week one of my new blog post got released here. I hope you will enjoy it, especially the french ones interested in cybercrime ;-)
Cheers !
mardi 12 juillet 2016
Par Cedric Pernet le mardi 12 juillet 2016, 15:13 - Cybercrime
Hi all,
Please be advised I have published a new blog post entitled "French Dark Bets: Betting On Euro 2016"
French people in particular might be interested... ;-)
mardi 31 mars 2015
Par Cedric Pernet le mardi 31 mars 2015, 11:44 - Cybercrime
Here is the link to a new blog post I wrote with friends Kenney Lu and Dark Luo from Trend Micro.
It has several interesting aspects, in my mind:
Hope you will enjoy the read ! :-)
jeudi 29 août 2013
Par Cedric Pernet le jeudi 29 août 2013, 09:44 - APT
On a recent blog post, Claudio Guarnieri analyzes an APT attack campaign launched by the "Calc Group".
This group of attackers used the soon-coming "G20 Summit" to spear phish their targets. which are mostly financial institutions and governments. The attack in itself is really not sophisticated, it is just made of an archive file (.ZIP) containing a malicious executable file (.EXE).
The names of the zip files are:
These archives contains the following files:
One might be surprised that people really do open such zip files and click on these executables, but believe me, some people still do. Once again, it shows us that it is not necessary to deploy brilliant strategies to infect people with targeted malware.
Claudio makes a great analyse of these attacks in his blog post, so I won't write about it and let you read it instead. Now what I wanted to know was what happened next. I was especially interested in the second attack, because it had been submitted to Virus Total (VT) from France.
To summarize Claudio's analysis, the attack scheme goes like this :
This last point is very important to me: what malware is downloaded, and why? (the "why" can be expected though...)
To quote Claudio, "these samples are just an initial stage of a larger suite of malware, possibly including Aumlib and Ixeshe, which it will try to download from a fixed list of URLs embedded in the binary".
Luckily enough, the second stage malware was still available and I could download it for analysis. It turns out that it is not an "AumLib" or an "Ixeshe", but a variant of a less known malware, called "Bisonha" by the malware researcher's community.
To bypass anti-virus and IDS/IPS products, it is downloaded "upside down" (the first byte becomes the last byte, etc.) and written locally as a regular executable once it is downloaded successfully, then executed.
The file shows a "Java" icon, to try to look more "legitimate" to users. At the time of writing, the sample I downloaded had not been submitted to Virus Total, so I did. The detection rate for this sample is 12/46.
This malware has no persistence mechanism (the first stage downloader makes it persistent), and once executed starts communicating with an IP address 23.19.122.196 on port 443:
GET /300100000000F0FD1F003746374637433731333433363334333600484F4D45000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000070155736572000000000000000000000000000000000000000000000000000000000000000000006444000000000000000000000000000000000000000000 HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) Host: 23.19.122.196 Connection: Keep-Alive Cache-Control: no-cache
As you can see, the network traffic is on port 443 (HTTPS) but it is definitely no HTTPS traffic, rather hex-encoded data:
0000000: 0000 0000 f0fd 1f00 3746 3746 3743 3731 ........7F7F7C71 0000010: 3334 3336 3334 3336 0048 4f4d 4500 0000 34363436.HOME... 0000020: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000030: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000040: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000050: 0000 0000 0000 0000 0007 0155 7365 7200 ...........User. 0000060: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000070: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000080: 0064 4400 0000 0000 0000 0000 0000 0000 .dD............. 0000090: 0000 0000 0000 0000 ........
My reverse engineering rockstar friend Fabien Perigaud had a closer look at the malware and provided me with more information:
Offset: 0x4: RAM size in kilobytes
Offset: 0x8: Hard-drive ID, xored with the machine name then hex-encoded
Offset: 0x19: Machine name
Offset: 0x59: Operating system version (in malware author's writing)
Offset: 0x60: Number of processors
Offset: 0x61: User name
Offset: 0x81: A unique identifier (probably used as a campaign identifier?) - Here it is "dD" but other two characters identifiers have been witnessed in the wild.
The commands which can be sent to the malware are sent in answer:
3004: File writing 3005: File reading 3006: Writing and execution of a file 3115 : provide a shell 3222 : write a new ID in %APPDATA%\recycle.ini 3223 : auto deletion of the malware 3224 : update
This quick analysis shows us that no matter how deep your knowledge is about an attacker, you're never safe from seeing him change his methods completely. That is why APT attacks attribution is such a hard task.
Thanks to Fabien, Jesse, Brian and Ned for the help while writing this small post ;-)
EDIT: (2013/09/04) Satnam Narang from Symantec just posted interesting material about the same APT campaign. You can read it here. In few words, Poison Ivy RAT is also in the game ;)
lundi 29 août 2011
Par Cedric Pernet le lundi 29 août 2011, 10:51 - Malware
Hello les kidz, Histoire de blogger vite fait, un nouveau worm vient de voir le jour : Morto.
F-Secure et Microsoft nous fournissent quelques informations intéressantes.
Ce que j'en retiens :
Le but final est de disposer d' une bonne backdoor sur les machines infectées, ce qui permet notamment de dropper d'autres malware (allez, au hasard, du rogue AV ou du troyen), ou voler de l'information (parce qu'il faut bien entretenir la peur des APT), ou encore lancer des attaques DDoS (très tendance...).
Bonne rentrée à tous ;-)
jeudi 20 mai 2010
Par Cedric Pernet le jeudi 20 mai 2010, 08:35 - Cybercrime
Yesterday, Brian Krebs published the story of a carding forum, carders.cc, which has been compromised.
In brief, a carding forum is an Internet-based forum where carders are getting in touch, doing fraudulent business, exchanging stolen credit card/credentials, information, tools … One could think that such dark places would be hidden deeply on Internet, but some are very visible. You could also think that such forums would be highly secured, but sometimes they’re not. Well, carders.cc was as visible as vulnerable, it seems.
Anyway, back to our story. The hackers, naming themselves "happy ninjas" (and we all know ninjas are stronger than pirates...), managed to get access to all the data from carders.cc. Amongst these data were stolen banking credentials and credit card numbers from victims, but also, what interested me most, data about the carders themselves. They published some of these data on a public server. (I caught it just by reading some tweets…)
Numerous articles have already been published about the case, but I didn’t see any about the specific point of interest for me: the 3726 unique e-mail addresses of the members of the forum.
Seeing all these complete e-mail addresses, I asked myself some questions :
• Do the fraudsters have favorite e-mail services?
• Do the fraudsters use more gTLDs or ccTLDs?
• Do the fraudsters use only generic webmail providers, or do they also use specific providers? Maybe even corporate addresses?
I quickly started to parse and analyze the data, and the first results were there.
TOP 20 DOMAINS USED BY THE CYBERCRIMINALS (click the image to zoom)
From the 3726 unique e-mail addresses, there were 349 unique providers.
Carders.Cc is a German forum. Therefore, it is not surprising to see three German domains (web.de, gmx.de, hotmail.de) as being the most used provider. We can assume that if these people use a German e-mail address on an e-mail forum, using sometimes German nicknames, chances are that these cybercriminals don’t use proxies and browse the forum using their real IP address. This supposition has been confirmed by the happy ninjas :
“Sure, some of you maybe always used a proxy... Most of the administrators and moderators didn't. Did you?”
The first anonymous e-mail address provider is mail.3dl.am, ranked 12. This website garantees that your IP addresses are never logged when using their services. Sounds like a bulletproof webmail system.
Immediately following 3dl.am is owlpic.com, a temporary e-mail system. This allows people to register on the forum using a one-time e-mail address.
The 300 domains after the TOP 50 have been used less than 5 times, and 230 domains have been used in a single way. Some corporate companies are used. They are probably compromised accounts. This is interesting, but you will have to find them by yourself : for confidentiality purposes, I am not copying them in this document.
Now about the TLDs used:
TOP 8 TLDs used by the fraudsters (click the image to zoom)
We see .de is almost twice as much used as its follower, .com. Then it decreases quite fast.
Amongst the TLDs there are some ccTLDs which are quite surprising to witness here : .AM (Armenia) , .AI (Anguilla), and .MU (Mauritius)
.AM appears 67 times. The reason is the use of a mail.3dl.am free anonymous e-mail service in german language.
.AI appears 27 times, being used for hush.ai service.
.MU has been used 18 times for the domain kuh.mu, currently down.
I stop my little analysis right here, since I have already spent too much time on it yesterday night ;-)
Let me finish with some axes of researches:
• IP addresses. There are thousands of IP addresses linked to the fraudsters. It would be very interesting to have some statistics on these.
• Passwords. Cracking the passwords could provide us with funny statistics about most common passwords used, their length, their geekness, and so on… ;-)
Have fun ! :-)
mardi 16 février 2010
Par Cedric Pernet le mardi 16 février 2010, 13:36 - Cybercrime
Depuis quelques années, la technique du "drive-by download" s'est développée de façon spectaculaire, permettant à des cybercriminels d'infecter des ordinateurs de façon totalement transparente. Ces ordinateurs sont souvent délaissés au niveau de leur sécurité : les patchs de sécurité ne sont pas appliqués, il n'y a pas d'anti-virus, pas de firewall ... Des machines comme ça, nous en avons tout autour de nous, et elles ne mettent jamais longtemps à se faire infecter par des malware divers et variés, malheureusement.
Le "drive-by" download désigne en fait toute méthode qui permet de faire télécharger et exécuter à l'insu de l'utilisateur un contenu (la plupart du temps) malicieux. La méthode la plus judicieuse dans ce cadre reste d'infecter un site "légitime" et d'y placer son malware. Mettre en place un drive-by download de ce type est simple pour un pirate : il compromet d'abord un site, si possible à forte visibilité, qui garantira une forte propagation de son contenu malicieux. Puis il y place des liens, des redirections, ou directement une exploitation d'une ou plusieurs vulnérabilités.
L'ancien adage du "tu ne surferas point sur des sites immoraux, de peur d'attraper un virus" n'est plus vrai : on peut se faire infecter en naviguant sur des sites parfaitement respectables. Les exemples sont nombreux : CNN, Yahoo etc... Le premier cas de drive-by dowload sérieux dont je me souvienne est celui du stade des Dolphins de Miami, juste avant une finale de Superbowl, en 2007 : les pirates avaient réussi à compromettre le site principal de l'évènement et propageaient une variante d'Haxdoor, un malware de type cheval de Troie bien connu pour dérober notamment les accès de comptes bancaires... Un exemple précis ici, si vous voulez creuser un peu le sujet. En fait, le manque de sécurité des administrateurs de certains serveurs web joue en faveur des pirates tout autant que le manque de sécurité des postes utilisateurs. Il existe des centaines de milliers de sites légitimes compromis dans le seul but de propager du malware...
Les buts poursuivis sont variés : infections des ordinateurs par des chevaux de Troie qui vont "voler" les identifiants et mots de passe bancaires des utilisateurs, propagation de spam, collecte de données sensibles, etc.
Depuis peu, certains cybercriminels ont décidé de propager leur contenu d'une façon moins conventionnelle : ils procèdent par "phone-by download". (Je n'ai pas inventé le terme...)
En effet, j'ai eu vent d'attaques pour le moins originales ciblant des utilisateurs :
Cette méthode présente un inconvénient majeur pour le pirate : elle ne permet pas d'infecter beaucoup de machines. Cependant, dans le cas d'une attaque ciblée, dans laquelle le pirate vise une personne en particulier (généralement pour du vol d'informations sensibles), ce n'est pas un problème. D'autant plus que les utilisateurs commencent à se méfier des spam, mais se méfient beaucoup moins d'un contact "réel" avec un autre être humain.
Finalement, cette nouvelle attaque se contente d'utiliser les bonnes vieilles méthodes de social engineering des années 80 en mêlant usurpation d'identité et crédulité de certains utilisateurs. Efficace.
mardi 6 octobre 2009
Par Cedric Pernet le mardi 6 octobre 2009, 12:50 - Cybercrime
Récemment une étude de Finjan a généré un buzz médiatique assez important autour d'un malware connu sous les alias d' URLZone ou encore de Bebloh.
Ce malware est un cheval de Troie bancaire, un code malveillant conçu et développé pour voler vos identifiants bancaires. Mais plus que ça, ce malware dispose de la capacité de générer des transactions bancaires "à la volée". Lorsqu'une victime se connecte sur son compte bancaire et génère un virement bancaire légitime, la requête est interceptée de façon transparente par le malware. Ce dernier modifie les informations de transaction, et envoie de l'argent vers une mule. (Une mule est un intermédiaire recruté par les fraudeurs, qui reçoit l'argent détourné et le renvoie vers les fraudeurs, souvent par Western Union, vers un pays exotique ... La mule conserve un faible pourcentage de la transaction, de l'ordre de 3 à 8% généralement)
Plusieurs familles de malware ont ce comportement, qui n'est pas nouveau. Une amélioration plus récente embarquée dans URLZone est de "truquer" la confirmation de virement et le relevé en ligne.
Encore plus étonnant, le malware, avant d'effectuer son détournement de fonds, vérifie...l'état du compte bancaire ! Le virement effectué par le malware tiendra compte de plusieurs paramètres dont le solde du compte, afin de minimiser les chances d'être découvert : le compte restera positif et les montants prélevés sont plutôt minimes. Brillant.
Enfin, dans le cas où la fraude est détectée par la victime ou par sa banque, suit logiquement le dépôt de plainte de la victime. Mais là encore, les fraudeurs déploient un dernier atout dans leur code pour augmenter les chances de passer inaperçu et perturber les enquêtes judiciaires... En effet, l'une des pistes utilisée par les enquêteurs est de suivre le parcours de l'argent : les sommes virées par le malware vont vers des mules identifiables. Les forces de l'ordre peuvent suivre ce parcours en demandant aux banques de leur transmettre les coordonnées des comptes bancaires des mules. Seulement, sur une enquête impactant des centaines de victimes, les services judiciaires font de la récolte de mules en accumulant les plaintes, et peuvent passer à côté de mules qui ont reçu de l'argent de victimes qui ne se sont jamais rendues compte de l'escroquerie...
Une méthode alternative serait donc d'infecter des machines dans des environnements de tests, afin de voir les transactions s'effectuer vers les mules (en les empêchant de passer bien entendu).
C'est là qu'intervient à nouveau l'ingéniosité des auteurs de ce malware : lorsqu'il détecte un environnement de test, au lieu de ne plus rien faire comme la plupart des autres malware, il reste actif et génère des virements... vers des victimes innocentes ! Ainsi, les chercheurs souhaitant collecter de l'information sur les mules se retrouvent dans un cul de sac... Et les forces de l'ordre vont perdre un temps précieux à enquêter sur des personnes qui n'ont rien à voir avec le schéma frauduleux d'URLZone.
Le ou les auteurs de ce malware nous démontrent, s'il était encore besoin de le dire, que les chevaux de Troie embarquent de plus en plus de techniques qui leur assurent non seulement des taux d'infection et une furtivité accrue, mais également des techniques qui augmentent leurs chances de ne jamais se faire arrêter.
mercredi 30 septembre 2009
Par Cedric Pernet le mercredi 30 septembre 2009, 12:53 - Cybercrime
Dmitry Samosseiko de Sophos s'est penché sur un type de cybercriminalité qui, bien que n'étant pas récent, n'a pas fait l'objet de beaucoup d'études quant à présent. Il s'agit du phénomène de l'affiliation.
Le principe est simple, et issu du marketing : des internautes disposant de sites web sont rémunérés par des sociétés d'affiliation ou des webmarchands afin de leur amener du trafic. Plus vous amenez de visiteurs à votre affiliant, plus vous gagnez d'argent.
Le hic, c'est que des cybercriminels utilisent l'affiliation de façon frauduleuse, et ce depuis plusieurs années, le phénomène n'étant pas nouveau mais faiblement documenté sur Internet.
L'étude de Sophos se concentre donc sur le déploiement de l'affiliation dans un cadre totalement illicite : l'affiliation vers des produits illégaux. En tête de liste, les sites de contrefaçons, qu'elles soient de produits pharmaceutiques (Viagra, Cialis, Levitra etc.), ou de produits de luxe (montres, sacs à mains etc.) ... D'autres sites ayant un fort besoin de trafic ne sont pas forcément illégaux mais encouragent des méthodes douteuses d'affiliation: casinos sauvages, sites pornographiques etc.
Et bien sûr, phénomène très en vogue ces derniers temps : les sites de "rogue anti-virus" ou "rogue AV".
Quoi qu'il en soit, même si certains sites sont à priori légaux, les méthodes déployées par les affiliés pour amener du trafic le sont moins :
L'exemple de GlavMed pris par Sophos est très intéressant : Glavmed fournit clef en main tout le nécessaire pour déployer un site de type "Canadian Pharmacy" rapidement ... Il ne reste plus qu'à générer du trafic, et par ici la monnaie...
J'en reste là, mais je vous encourage fortement à lire cette étude. Je m'excuse également de vous la signaler aussi tard (elle a été publiée il y a une bonne semaine) mais comme vous le savez je ne blogge que sur mon temps libre, et je n'en ai pas beaucoup en ce moment... D'ailleurs je me suis senti obligé de sacrifier ma pause déjeuner ce midi pour écrire ce petit post, j'espère que vous apprécierez ce geste à sa juste valeur ;-))
Plus sérieusement, cette étude a malheureusement été très peu relayée par les médias français. Il semble que la seule information qui ait été retenue et reprise soit le fait que chaque installation d'un malware sur Mac était rémunérée 0.43 $. Je trouve ça un peu dommage, pour un papier dont la lecture est aussi agréable et intéressante.
Enfin, si le sujet vous intéresse, notamment l'aspect pharmaceutique, je vous encourage si ce n'est déjà fait à lire les travaux de Guillaume Arcas dans MISC. Guillaume, que je salue au passage, a bien creusé le domaine, et apporte des éléments vraiment pertinents. Un must :-)
« billets précédents - page 1 de 3