Présentation d'un mode opératoire du rançongiciel New Zeppelin

New Zeppelin est une version améliorée du rançongiciel Zeppelin, lui aussi étant une version améliorée de VegaLocker/Buran (découvert en 2019). Identifiée en 2020 par Juniper ThreatLab, cette nouvelle version de Zeppelin utilise un cheval de Troie écrit en Visual Basic, script dissimulé dans des caractères illisibles. Ce rançongiciel est mis à disposition des attaquants avec des mécanismes de personnalisation, rendant donc ce nouveau Zeppelin « poly-artisanal ».  Le descriptif présenté ici est celui de l’attaque étudiée par le laboratoire Juniper.

New Zeppelin se différencie de son prédécesseur via une technique d’activation du cheval de Troie difficilement détectable par l’antivirus (par la dissimulation du code fragmenté dans le texte de confusion). Le déclenchement discret du cheval de Troie se fait via l’activation de la Macro VBA dans Microsoft Word : la menace se présente comme « innocente » au travers d’une fausse image au contenu pseudo-médical, cachant un texte illisible où y est fragmenté le code d’exécution. Lorsque la Macro VBA est activée par l’utilisateur, les fragments de codes VBs eparpillés dans le texte illisible sont rassemblés en un unique script puis enregistrée sous c:\wordpress\about1.vbs

Lorsque la victime ferme le document, une autre macro s’active discrètement et récupère le code winmgmts:Win32_Process dans le texte illisible. Ce code est par la suite utilisé pour exécuter about1.vbs L’exécution about1.vbs force le téléchargement discret du noyau rançongiciel provenant de l’adresse suivante :

hxxp://btcxchange[.]online/fc4b1cbbb9d731f9a264cddf3971f0bc/windows/urgently.exe

Le rançongiciel téléchargé est enregistré sous : c:\wordpress\docuview.exe puis il y a une temporisation de plusieurs dizaines de secondes avant exécution pour tromper une analyse en bac à sable du maliciel.

Avant que New Zeppelin procède au chiffrement, ce dernier vérifie l’adresse IP de la victime : si celle-ci est située en Russie, Kazakhstan, Ukraine ou en Biélorussie, alors la victime ne verra pas ses données chiffrées.

Selon AdvIntel et TechSecuriteNews, les attaquants ayant acheté la nouvelle version de Zeppelin seraient essentiellement focalisés sur des vecteurs d’attaque initiaux courants tels que RDP, les vulnérabilités VPN et le phishing.

Informations
+

 

Risques

  • Elévation de privilèges
  • Exécution de code arbitraire
  • Chiffrement des données
  • Exfiltration / vol de données sensibles
  • Revente de données sensibles

Criticité

NA

CVE

NA

Composants vulnérables

  • Toutes les versions obsolètes  de Windows (Xp, VISTA, 7…) et non mise-à-jour.
  • Microsoft Pack Office: MS Word. (Macro VBA)

Recommandations
+
  • Installer les mises à jour Microsoft