Charon : un rançongiciel sophistiqué frappe les secteurs public et aérien au Moyen-Orient

Une nouvelle campagne de rançongiciel, d’une sophistication rarement observée, cible actuellement des infrastructures critiques au Moyen-Orient. Baptisé Charon, ce malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec se distingue par l’usage de tactiques dignes d’acteurs de type APTMenace avancée et persistante visant un système spécifique sur le long terme. Attaque de SolarWinds par un État-nation. MITRE (Advanced Persistent Threat), habituellement associées aux opérations de cyberespionnage soutenues par des États.
Selon un rapport de Trend Micro, les victimes identifiées incluent le secteur public et l’industrie aérienne, deux piliers stratégiques dont l’interruption peut avoir des conséquences économiques et géopolitiques majeures.

Chaîne d’attaque et analyse technique

1. Infection initiale

• Le vecteur d’entrée exact n’a pas encore été confirmé, mais l’usage de DLL side-loading laisse penser à des campagnes de spear-phishing ou à des compromissions de la chaîne d’approvisionnement logicielle.

• Le recours à des composants logiciels légitimes permet aux attaquants de se fondre dans l’activité normale du système.

2. DLL Side-Loading via exécutable navigateur maquillé

• Les attaquants utilisent un exécutable légitime de navigateur (Edge.exe), renommé cookie_exporter.exe.

• Cet exécutable charge de manière détournée une DLL malveillante nommée msedge.dll (référencée par les chercheurs comme SWORDLDR).

• SWORDLDR a pour rôle principal de déployer la charge utile de Charon tout en contournant les détections basées sur les signatures.

3. Injection de processus

• Le rançongiciel injecte son code dans des processus Windows de confiance, ce qui permet de dissimuler son activité sous des identités de processus légitimes.

• Cette technique complique fortement la détection par les antivirusLogiciel de détection et suppression de malwares. ESET protège contre les ransomwares. NIST et les EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner, car les processus compromis héritent de la confiance initiale.

4. Neutralisation des EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner via BYOVD

• Les chercheurs suspectent l’utilisation d’un driver vulnérable dans le cadre d’une technique BYOVD (Bring Your Own Vulnerable Driver).

• Cette approche, proche du projet malveillant Dark-Kill, permet de désactiver les agents EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner et antivirusLogiciel de détection et suppression de malwares. ESET protège contre les ransomwares. NIST.

• Pour l’instant, Trend Micro estime que cette capacité est soit en cours de développement, soit activée uniquement sur des cibles spécifiques.

5. Actions destructrices et chiffrement

• Charon termine les processus liés à la sécurité pour éviter toute interférence.

• Il supprime les copies d’ombre (Volume Shadow Copies) et les sauvegardes locales, empêchant toute restauration facile.

• Le chiffrement est exécuté via des routines multithreadées, maximisant la rapidité et l’impact avant détection.

Hypothèses d’attribution

Trend Micro note de fortes ressemblances avec les méthodes du groupe Earth Baxia, lié à la Chine, connu pour :

• Les attaques sur la chaîne d’approvisionnement,

• L’utilisation de logiciels légitimes comme vecteur d’infection,

• Des techniques avancées de mouvement latéral.

Cependant, plusieurs scénarios restent plausibles :

1. Implication directe d’Earth Baxia,

2. Opération sous faux drapeau,

3. Groupe de rançongiciel indépendant adoptant des tactiques d’APTMenace avancée et persistante visant un système spécifique sur le long terme. Attaque de SolarWinds par un État-nation. MITRE.

Enjeux pour la cybersécurité au Moyen-Orient

Le ciblage des secteurs aérien et public n’est pas anodin :

• Perturbations opérationnelles dans l’aviation avec effets en cascade sur la logistique, le tourisme et le commerce.

• Atteintes aux services publics pouvant entraîner des fuites de données, des pannes prolongées et une perte de confiance citoyenne.

• L’utilisation de tactiques d’État-nation par un rançongiciel souligne le brouillage des frontières entre cybercriminalité financière et cyberespionnage.

Recommandations défensives

• Détection comportementale pour identifier l’injection de processus et le DLL side-loading.

• Listes blanches applicatives pour bloquer l’exécution de binaires non autorisés, même signés.

• Vérification de l’intégrité des drivers pour empêcher l’installation de pilotes vulnérables.

• Sauvegardes régulières et hors ligne stockées sur des systèmes immuables.

• Plans de réponse aux incidents spécifiquement adaptés aux attaques de type APTMenace avancée et persistante visant un système spécifique sur le long terme. Attaque de SolarWinds par un État-nation. MITRE.

Conclusion

La campagne Charon illustre la convergence entre rançongiciel et tactiques APTMenace avancée et persistante visant un système spécifique sur le long terme. Attaque de SolarWinds par un État-nation. MITRE. Qu’elle soit le fruit d’un État ou d’un groupe cybercriminel avancé, elle montre que les cibles à forte valeur, en particulier dans les zones géopolitiquement sensibles, doivent se préparer à des opérations plus furtives, plus longues et plus destructrices que les attaques opportunistes classiques.
Dans un contexte de tensions régionales persistantes, Charon pourrait bien marquer le début d’une nouvelle génération d’opérations hybrides, à la frontière entre sabotage, espionnage et extorsion.