La société a recommandé aux utilisateurs de faire une mise à jour vers la dernière version afin de résoudre ce problème. Mais un nouveau rapport de Talos, la branche de sécurité de Cisco, indique que cela peut ne pas être suffisant.
« Au cours de notre enquête, nous avons reçu une archive contenant des fichiers stockés sur le serveur de commande et de contrôle », expliquent les chercheurs de Talos. « Au départ, nous avions des inquiétudes quant à la légitimité des fichiers. Cependant, nous avons pu vérifier rapidement que les fichiers étaient vraisemblablement authentiques sur la base des fichiers de configuration du serveur Web », entre autres preuves. « En analysant le code livré à partir du serveur de commande et de contrôle, on identifie immédiatement une liste d'organisations, y compris Cisco, qui ont été spécifiquement ciblées par la livraison d'une charge utile dans la seconde étape de l'attaque », ont-ils ajouté. Le code analysé par la firme de sécurité indique que les cibles incluent entre autres Cisco, Microsoft, Sony, Intel, VMware, Samsung, D-Link, Epson, MSI et Linksys.
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | $DomainList = array ( "singtel.corp.root", "htcgroup.corp", "samsung-breda", "samsung", "samsung.sepm", "samsung.sk", "jp.sony.com", "am.sony.com", "gg.gauselmann.com", "vmware.com", "ger.corp.intel.com", "amr.corp.intel.com", "ntdev.corp.microsoft.com", "cisco.com", "uk.pri.o2.com", "vf-es.internal.vodafone.com", "linksys", "apo.epson.net", "msi.com.tw", "infoview2u.dvrdns.org", "dfw01.corp.akamai.com", "hq.gmail.com", "dlink.com", "test.com"); |
L'installateur de la phase 2 de l’attaque est nommé GeeSetup_x86.dll. Il vérifie la version du système d'exploitation et installe une version 32 bits ou 64 bits d'un cheval de Troie sur le système en fonction de la vérification. Le cheval de Troie 32 bits est nommé TSMSISrv.dll et le cheval de Troie 64 bits EFACli64.dll.
Les chercheurs suggèrent que l'attaquant était intéressé par la propriété intellectuelle de ses cibles. Ils soupçonnent également la Chine d'être la source de l'attaque, en se basant sur le fuseau horaire spécifié dans le code analysé et le fait que le malware partage des codes d'outils associés à un groupe de pirates chinois baptisé « Group 72 » ; lequel était suspecté d'être impliqué dans des attaques précédentes visant à voler la propriété intellectuelle de ses cibles.
Avec cette nouvelle découverte, Talos estime qu'une simple mise à jour ne suffit pas pour mettre à l'abri les utilisateurs qui ont installé la version compromise du logiciel. Ils recommandent donc aux utilisateurs de restaurer leur système à l'aide d'une sauvegarde créée avant l'infection. « Ces nouveaux résultats augmentent notre niveau de préoccupation au sujet de ces événements, étant donné que des éléments de notre recherche pointent vers un éventuel acteur inconnu et sophistiqué », a déclaré Talos. « Ces résultats appuient et renforcent également notre recommandation précédente selon laquelle ceux qui ont été touchés par cette attaque de la chaîne d'approvisionnement ne devraient pas simplement supprimer la version affectée de CCleaner ou faire une mise à jour vers la dernière version, mais doivent faire une restauration à partir de sauvegardes ou réimager leurs systèmes pour s'assurer qu'ils suppriment complètement non seulement la version compromise de CCleaner, mais aussi tout autre logiciel malveillant qui a été installé sur le système. »
Source : Talos
Et vous ?
Qu’en pensez-vous ?