Enseignement supérieur : alerte aux e-mails piégés avec IcedID

C’est sur Twitter que la nouvelle est apparue publiquement, hier 23 mars. Une copie d’écran présente un message apparemment partagé en interne à l’Université de Clermont-Auvergne (UCA). On y apprend que « le vendredi 19 mars, le Ministère a signalé à l’ensemble des universités une attaque virale basée sur la diffusion de fichiers zip corrompus via la messagerie ».

Plus loin l’on peut lire qu’il « a été recommandé dans l’urgence le blocage de tous les mails concernés, par mesure de précaution, ce qui a été fait à l’UCA sur les messages provenant de l’extérieur. Il s’agit d’une mesure conservatoire en attendant que la vague soit passée et que les analyses techniques en cours au Ministère aboutissent ». Nous avons sollicité le service de presse du ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation, sans réponse à ce stade.

Selon plusieurs sources, l’alerte est toutefois bien réelle, mais n’a pas suscité une plus vaste diffusion, comme s’il s’agissait d’une menace ciblée. Et cela ne va pas sans rappeler la communication très ciblée autour du ransomware Cl0p, après l’attaque du CHU de Rouen, alors que la menace dépassait le seul monde hospitalier.

Nous avons obtenu un échantillon de la pièce jointe piégée ayant alerté le ministère sur la menace. Il s’agit d’un fichier Excel contenant des macros téléchargeant une première charge utile malicieuse. Trois adresses IP figurent dans le code à cette fin. Toutes trois sont connues d’Abuse.ch pour la distribution du cheval de Troie IcedID. Une seule de ces adresses IP était encore joignable au moment où nous avons analysé le fichier vérolé.

De là, nous avons donc pu récupérer la charge utile servie à cette adresse, et confirmer qu’il s’agit bien d’IcedID. Une surprise ? Non. Les statistiques d’Abuse.ch font ressortir ce cheval de Troie en tête des maliciels observés actuellement, devant Dridex, ou encore Quakbot, AgenTesla et Trickbot. Et depuis le 13 mars, le volume est conséquent, même si l’on est loin de l’ampleur d’un réseau tel qu’Emotet à son plus fort. L’analyste Brad Duncan souligne quant à lui que « la chaîne de distribution qui distribuait Qakbot a commencé, quelque part ce mois-ci, à pousser IcedID ».

Dans sa base de connaissances, Trend Micro rappelait début décembre qu’IcedID avait été découvert autour de 2017 et distribué notamment comme charge utile de second niveau à la suite d’Emotet. Mais « dans le cadre de récentes campagnes de malspam, un groupe cybercriminel appelé Shathak ou T551 a distribué le maliciel ». À ce moment-là, c’était sous la forme d’une pièce jointe ZIP protégée par mot de passe et présentée dans un e-mail comme une réponse à une demande antérieure.

Les équipes de FireEye Mandiant indiquaient quant à elles, fin février, qu’IcedID avait été observé, l’an dernier, en début de la chaîne d’attaque conduisant jusqu’au déploiement et à la détonation des ransomwares défunts Maze Egregor.

S’il le fallait, cette alerte du ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation conforte les observations du mois de février indiquant que la relève d’Emotet est bien là. Dans ce contexte, il est toujours aussi important de soigner ses enregistrements DNS, et de mettre en place de quoi détecter, puis bloquer, une éventuelle intrusion.