Une vieille faille de sécurité de Microsoft Office, identifiée pour la première fois en 2017, a été exploitée récemment pour lancer le malware Cobalt Strike à travers un document prétendument officiel. Ce document, un faux manuel militaire américain, a servi de leurre pour introduire ce logiciel malveillant notoire.
Les acteurs de cette attaque, encore non identifiés, ont recouru à une tactique déjà observée dans le monde de la cybersécurité : l’utilisation de failles zero day obsolètes pour perpétrer leurs méfaits. Cette méthode est devenue une stratégie courante chez les cybercriminels cherchant à tirer parti de vulnérabilités non colmatées.
Cobalt Strike : l’outil préféré des cybercriminels
Cobalt Strike a été initialement conçu en 2012 pour renforcer les capacités du Metasploit Framework, une plateforme populaire parmi les experts en sécurité pour tester les défenses des systèmes informatiques. Transformé en 2015 en une solution autonome pour simuler des attaques, il n’a pas fallu longtemps avant que Cobalt Strike ne soit adopté par des acteurs malveillants, incluant des groupes de pirates avancés et persistants (APT). Sa popularité parmi les cybercriminels a explosé, attestée par une augmentation de 161 % de son utilisation détournée entre 2019 et 2021.
Sa polyvalence et la facilité avec laquelle il peut être adapté à diverses campagnes malveillantes le rendent particulièrement dangereux. Le malware a été utilisé dans des attaques visant diverses cibles, notamment en France en 2021 avec le malware « Lockean ».
Qui sont les auteurs et quelles sont leurs cibles ?
La méthode de déploiement de Cobalt Strike soulève des questions quant à l’identité et aux objectifs des pirates. L’utilisation de la faille CVE-2017-8570, déjà employée pour cibler l’Ukraine en 2022, suggère que les cibles pourraient être similaires cette fois-ci. Les chercheurs ont suivi un trajet numérique qui a commencé en Ukraine, a transité par la Russie via VPN, et s’est terminé avec un signal à Varsovie en Pologne.
Cette affaire complexe de cybersécurité montre une fois de plus l’importance de la vigilance, tant pour les entités étatiques que pour les individus. Les cyberattaques continuent de provenir de sources variées et d’exploiter toutes les faiblesses possibles, rappelant la nécessité constante de renforcer les mesures de sécurité informatique. En attendant l’identification des responsables de cette dernière offensive, la communauté internationale reste en alerte face à une menace qui ne cesse d’évoluer.
Malware Cobalt Strike
Le malware Cobalt Strike est un outil de sécurité informatique qui a été détourné pour devenir un des vecteurs d’attaque les plus prisés par les cybercriminels. Initialement conçu comme un outil légitime pour les professionnels de la sécurité, il est utilisé pour simuler des attaques de cyberpirates et tester la robustesse des défenses des systèmes informatiques.
Origines et développement
Cobalt Strike a été développé par Strategic Cyber LLC et lancé en 2012. Son objectif était d’améliorer les capacités du Metasploit Framework, un autre outil très utilisé dans les tests de pénétration informatique. En 2015, Cobalt Strike a été mis à jour vers sa version 3.0, devenant une plateforme autonome d’émulation de menaces. Cette version offrait des fonctionnalités avancées pour simuler des attaques sophistiquées et coordonnées, ce qui a rapidement attiré l’attention à la fois des professionnels de la sécurité et des acteurs malveillants.
Détournement par les cybercriminels
Peu après sa mise à jour majeure, Cobalt Strike a commencé à être détourné par des cybercriminels. Dès 2016, des chercheurs de Proofpoint ont découvert que le logiciel était utilisé non pas pour tester des défenses, mais pour mener des attaques réelles. Il est particulièrement apprécié pour sa capacité à déployer des « beacons » ou balises qui permettent de maintenir un accès à distance sur les systèmes infectés. Ces beacons peuvent ensuite être utilisés pour exécuter des commandes, exfiltrer des données ou déployer d’autres types de malwares.
Utilisation croissante dans les cyberattaques
L’utilisation de Cobalt Strike par des groupes de cybercriminels a fortement augmenté au fil des années. Il a été impliqué dans des campagnes de cyberespionnage, de vol de données et de déploiement de ransomware. Sa facilité de configuration et sa capacité à mimétiser le trafic légitime en font un choix privilégié pour les attaquants souhaitant rester discrets.
Implication dans des incidents notables
Cobalt Strike a été lié à plusieurs incidents de sécurité majeurs. Par exemple, il a été utilisé dans des attaques contre des institutions financières, des gouvernements et des infrastructures critiques. Le logiciel a été une composante clé dans les attaques de ransomware, y compris des incidents internationaux affectant des hôpitaux, des écoles et des entreprises.
