Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Oct 19, 2023
Lance Preta Terre
APT et attaques ciblées Nous décomposons les activités de cyberespionnage des
APT et attaques ciblées
Nous décomposons les activités de cyberespionnage du groupe de menaces persistantes avancées (APT) Earth Preta, observées dans les déploiements d'attaques à grande échelle qui ont commencé en mars. Nous montrons également les routines d'infection des familles de logiciels malveillants qu'ils utilisent pour infecter plusieurs secteurs dans le monde : TONEINS, TONESHELL et PUBLOAD.
Par : Nick Dai, Vickie Su, Sunny Lu 18 novembre 2022 Temps de lecture : (mots)
Enregistrer dans Folio
Nous surveillons une vague d'attaques de harponnage ciblant les secteurs gouvernementaux, universitaires, des fondations et de la recherche dans le monde entier. Sur la base des documents de leurre que nous avons observés dans la nature, il s'agit d'une campagne de cyberespionnage à grande échelle qui a débuté vers le mois de mars. Après des mois de suivi, l'éclosion apparemment large d'attaques ciblées comprend, mais sans s'y limiter, le Myanmar, l'Australie, les Philippines, le Japon et Taïwan. Nous avons analysé les familles de logiciels malveillants utilisées dans cette campagne et attribué les incidents à un groupe notoire de menace persistante avancée (APT) appelé Earth Preta (également connu sous le nom de Mustang Panda et Bronze President).
Dans notre observation des campagnes, nous avons noté que Earth Preta abusait de faux comptes Google pour distribuer le logiciel malveillant via des e-mails de harponnage, initialement stockés dans un fichier d'archive (tel que rar/zip/jar) et distribués via des liens Google Drive. Les utilisateurs sont ensuite incités à télécharger et à déclencher le logiciel malveillant à exécuter, TONEINS, TONESHELL et PUBLOAD. PUBLOAD a déjà été signalé, mais nous ajoutons de nouvelles informations techniques dans cette entrée qui la lient à TONEINS et TONESHELL, des familles de logiciels malveillants récemment découvertes utilisées par le groupe pour ses campagnes.
De plus, les acteurs exploitent différentes techniques pour échapper à la détection et à l'analyse, comme l'obscurcissement du code et les gestionnaires d'exceptions personnalisés. Nous avons également constaté que les expéditeurs des e-mails de harponnage et les propriétaires des liens Google Drive sont les mêmes. Sur la base des exemples de documents qui ont été utilisés pour leurrer les victimes, nous pensons également que les attaquants ont pu mener des recherches et, potentiellement, des violations antérieures sur les organisations cibles qui ont permis la familiarité, comme indiqué dans l'abréviation des noms des comptes précédemment compromis. .
Dans cette entrée de blog, nous discutons de la nouvelle campagne de Earth Preta et de ses tactiques, techniques et procédures (TTP), y compris les nouveaux installateurs et les portes dérobées. Enfin, nous partageons comment les praticiens de la sécurité peuvent suivre les menaces de logiciels malveillants similaires à celles que nous avons identifiées.
Compromis initial et objectifs
Sur la base de notre surveillance de cette menace, les documents leurres sont rédigés en birman et le contenu est "လျှို့ဝှက်ချက်" ("Interne uniquement"). La plupart des sujets abordés dans les documents sont des questions controversées entre les pays et contiennent des mots comme « secret » ou « confidentiel ». Cela pourrait indiquer que les attaquants ciblent des entités gouvernementales du Myanmar comme premier point d'entrée. Cela pourrait également signifier que les attaquants ont déjà compromis des entités politiques spécifiques avant l'attaque, ce que Talos Intelligence avait également noté précédemment.
Les attaquants utilisent les documents volés comme leurres pour inciter les organisations ciblées travaillant avec les bureaux du gouvernement du Myanmar à télécharger et à exécuter les fichiers malveillants. La victimologie couvre un large éventail d'organisations et de secteurs verticaux dans le monde, avec une concentration plus élevée dans la région Asie-Pacifique. Outre les bureaux gouvernementaux travaillant en collaboration au Myanmar, les victimes ultérieures comprenaient les industries de l'éducation et de la recherche, entre autres. En plus des sujets leurres couvrant des événements internationaux en cours concernant des organisations spécifiques, les attaquants attirent également des individus avec des vedettes-matière relatives à du matériel pornographique.
Analyser les routines
Earth Preta utilise des e-mails de harponnage comme première étape d'intrusion. Comme mentionné ci-dessus, certains sujets et contenus des e-mails traitent de sujets géopolitiques, tandis que d'autres peuvent contenir des sujets sensationnels. Nous avons observé que tous les e-mails que nous avons analysés contenaient les liens Google Drive, ce qui indique comment les utilisateurs pourraient être amenés à télécharger les archives malveillantes. Les types de fichiers des archives incluent des fichiers compressés tels que .rar, .zip et .jar, pour n'en nommer que quelques-uns. En accédant aux liens, nous avons appris que les archives contiennent les familles de logiciels malveillants TONEINS, TONESHELL et PUBLOAD.
Courriels de harponnage
Nous avons analysé le contenu des e-mails et constaté qu'un lien Google Drive est utilisé comme leurre pour les victimes. L'objet de l'e-mail peut être vide ou porter le même nom que l'archive malveillante. Plutôt que d'ajouter les adresses des victimes à l'en-tête "À" de l'e-mail, les acteurs de la menace ont utilisé de faux e-mails. Pendant ce temps, les adresses des vraies victimes étaient écrites dans l'en-tête "CC", susceptibles d'échapper à l'analyse de sécurité et de ralentir les enquêtes. En utilisant l'outil de renseignement open-source (OSINT) GHunt pour sonder ces adresses Gmail dans la section "À", nous avons trouvé ces faux comptes contenant peu d'informations.
De plus, nous avons observé que certains des expéditeurs pouvaient être des comptes de messagerie compromis d'une organisation spécifique. Les victimes pourraient être convaincues que ces e-mails ont été envoyés par des partenaires de confiance, ce qui augmente les chances que les destinataires sélectionnent les liens malveillants.
Documents leurres
Nous avons également trouvé des documents leurres liés aux organisations liées ou travaillant avec des entités gouvernementales du Myanmar. Le nom de fichier du premier leurre est Assistance and Recovery(china).exe, tandis qu'un autre document leurre .PDF ("Ambassade de la République du Myanmar.pdf, signifiant "Ambassade de la République du Myanmar") a été observé dans un fichier compressé nommé Assistance et Récupération(chine) .rar Apparemment, il s'agit d'un document contenant le rapport de l'ambassadeur dans des calendriers de réunions approximatifs entre les ambassades du Myanmar et de Chine.
Un autre document est lié à la Société japonaise pour la promotion de la science (JSPS), une initiative qui offre aux chercheurs la possibilité de mener et de subir des échanges de recherche au Japon. Notamment, les documents contenus dans le fichier compressé en pièce jointe (EN).rar sont principalement des fichiers image. La DLL malveillante et l'exécutable, qui sont utilisés pour la prochaine couche de sideloading, sont également inclus parmi eux.
Il existe également d'autres documents leurres avec divers thèmes de contenu, y compris les affaires régionales et la pornographie. Cependant, lorsque la victime ouvre le faux fichier de document dans ce dossier, aucun contenu correspondant n'apparaît.
Vecteurs d'arrivée
Nous avons observé au moins trois types de vecteurs d'arrivée comme points d'entrée des intrusions, dont plus de 30 archives de leurres dans le monde distribuées via des liens Google Drive, des liens Dropbox ou d'autres adresses IP hébergeant les fichiers. Dans la plupart des archives que nous avons collectées, il existe des exécutables légitimes, ainsi que la DLL téléchargée de côté. Les noms des archives et des documents leurres varient dans chaque cas. Dans les sections suivantes, nous prenons certains d'entre eux comme exemples et partageons les TTP de chacun.
Type A : chargement latéral de DLL
Dans ce cas, il y a trois fichiers dans l'archive : "~", de plus en plus confiants, les États-Unis appâtent China.exe et libcef.dll. Notamment, les noms des documents leurre et des exécutables peuvent être différents, comme détaillé dans les sections suivantes.
Tableau 1. Fichiers dans l'archive de type A
A l'intérieur de l'archive, le fichier "~" est un document leurre. L'exécutable De plus en plus confiant, les États-Unis appâtent China.exe est un exécutable légitime (initialement nommé adobe_licensing_wf_helper.exe, qui est Adobe Licensing WF Helper). Cet exécutable chargera la libcef.dll malveillante et déclenchera la fonction d'exportation cef_api_hash.
Lorsqu'il est exécuté pour la première fois, l'exécutable tente d'installer le logiciel malveillant en copiant le fichier .exe et en déplaçant libcef.dll (détecté par Trend Micro sous le nom de Trojan.Win32.PUBLOAD) vers <%PUBLIC%> Fichiers .exe et .dll sera renommé C:\Users\Public\Pictures\adobe_wf.exe et C:\Users\Public\Pictures\libcef.dll, respectivement. De plus, "~" est renommé en 05-09-2022.docx et déposé sur le bureau.
Type B : Liens de raccourci
L'archive malveillante contient trois fichiers : New Word Document.lnk, putty.exe et CefBrowser.dll. En particulier, les fichiers DLL et exécutables sont placés dans plusieurs couches de dossiers nommés "_".
Tableau 2. Fichiers dans l'archive de type B
L'auteur de la menace utilise le fichier .lnk pour installer les fichiers malveillants en décompressant le fichier d'archive avec WinRAR. La ligne de commande complète est la suivante.
%ComSpec% /c "_\_\_\_\_\_\putty.exe||(forfiles /P %APPDATA%\..\..\ /S /M Desktop.rar /C "cmd /c (c:\progra~1\winrar\winrar.exe x -inul -o+ @chemin||c:\progra~2\winrar\winrar.exe x -inul -o+ @chemin)&&_\_\_\_\ _\_\putty.exe")"
Putty.exe se fait passer pour un exécutable normal ; son nom de fichier d'origine est AppXUpdate.exe. Lorsqu'il est exécuté, il charge CefBrowser.dll et exécute la routine principale dans sa fonction d'exportation, CCefInterface::SubProcessMain. Il abuse également des schtasks pour la persistance.
Type C : fausses extensions de fichiers
Dans ce cas, China VS Taiwan.rar contient plusieurs fichiers, dont :
Tableau 3. Fichiers dans l'archive de type C
libcef.dll (détecté par Trend Micro sous le nom de Trojan.Win32.TONEINS) est un programme d'installation pour le logiciel malveillant de niveau suivant. Il copie deux fichiers dont les noms commencent par "~", dans ce cas, ~$20220817.docx et ~$20220617(1).docx vers <%USERPROFILE%\Pictures>. Les deux fichiers ont de fausses extensions de fichier et se font passer pour des fichiers temporaires générés lors de l'ouverture du logiciel Microsoft Office.
Logiciels malveillants
Dans cette campagne, nous avons identifié les logiciels malveillants suivants utilisés, à savoir PUBLOAD, TONEINS et TONESHELL.
Cheval de Troie.Win32.PUBLOAD
PUBLOAD est un intermédiaire qui peut télécharger la charge utile de l'étape suivante à partir de son serveur de commande et de contrôle (C&C). Ce malware a été divulgué pour la première fois par Cisco Talos en mai 2022.
Une fois le .dll exécuté, il vérifie d'abord si le même processus est déjà en cours d'exécution en appelant OpenEventA. Selon le tweet publié par Barberousse, certains noms d'événements remarquables sont identifiés comme noms d'utilisateurs d'autres chercheurs en cybersécurité sur Twitter, tels que "moto_sato", "xaacrazyman_armyCIAx" et "JohnHammondTeam". Il est important de noter que ces chercheurs n'ont rien à voir avec PUBLOAD mais ont été simplement et intentionnellement mentionnés par les acteurs de la menace dans les binaires.
Persistance
PUBLOAD crée un répertoire dans
1. Ajout d'une clé d'exécution de registre
cmd.exe /C reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Graphics /t REG_SZ /d \"Rundll32.exe SHELL32.DLL,ShellExec_RunDLL \"C:\\Users\\ Public\\Libraries\\Graphics\\AdobeLicensing.exe\"\" /f
2. Création d'une tâche planifiée
schtasks.exe /F /Create /TN Microsoft_Licensing /sc minute /MO 1 /TR C:\\Users\\Public\\Libraries\\Graphics\\AdobeLicensing.exe
Anti-Antivirus : API avec rappel
Le malware PUBLOAD décrypte le shellcode dans l'algorithme AES en mémoire. Le shellcode est appelé en créant un thread ou en utilisant différentes API. Les API peuvent accepter un argument d'une fonction de rappel, fonctionnant comme une alternative pour déclencher le shellcode. Nous avons observé plusieurs API exploitées, notamment GrayStringW, EnumDateFormatsA et LineDDA, et peuvent être considérées comme une technique pour contourner la surveillance et la détection antivirus.
Protocole C&C
Le shellcode PUBLOAD déchiffré collecte le nom de l'ordinateur et le nom d'utilisateur comme charge utile de la première balise. La charge utile sera ensuite chiffrée avec la clé prédéfinie RC4 (Rivest Cipher 4). Au moment d'écrire ces lignes, tous les stagers que nous avons vus jusqu'à présent partagent la même clé.
Après le chiffrement, le stager utilise une séquence d'octets spécifique comme en-tête de son paquet. Il ajoute les octets magiques "17 03 03" et la taille de la charge utile avant les données chiffrées.
Tableau 4. Format de paquet de requête dans PUBLOAD
Le stager vérifie également si le paquet de réponse a le même en-tête magique, "17 03 03". Si tel est le cas, la charge utile téléchargée en mémoire sera traitée comme un morceau de shellcode et sera exécutée directement.
Chaînes de débogage remarquables
Début 2022, nous avons trouvé des exemples de PUBLOAD intégrés avec des chaînes de débogage. Ils sont utilisés pour distraire les analystes des principales routines d'infection.
Après la visite de la présidente de la Chambre des États-Unis Nancy Pelosi à Taïwan en août, nous avons trouvé un fichier d'archive nommé "裴洛西訪台後民意匯總.rar" (traduit par "Le résumé de l'opinion publique de la visite de Pelosi à Taïwan") en chinois traditionnel, mais nous n'avons pu obtenir qu'une seule des DLL malveillantes dans le fichier d'archive. Étant donné que le sujet indiqué dans le nom du fichier lui-même est considéré comme un sujet controversé, il apparaît potentiellement accrocheur pour le destinataire ciblé. La DLL s'est avérée être un stager PUBLOAD avec plusieurs chaînes de débogage de sortie.
Cheval de Troie.Win32.TONEINS
Trojan.Win32.TONEINS est le programme d'installation des portes dérobées TONESHELL. Le programme d'installation dépose le logiciel malveillant TONESHELL dans le dossier %PUBLIC% et établit sa persistance. Le logiciel malveillant TONEINS se trouve généralement dans les archives de leurre et, dans la plupart des cas, le nom de la DLL TONEINS est libcef.dll. La routine malveillante est déclenchée via l'appel de sa fonction d'exportation cef_api_hash.
Le malware TONEINS est obscurci, susceptible de ralentir l'analyse des malwares. Il contient beaucoup de codes indésirables dans son flux de contrôle et contient de nombreuses instructions XOR inutiles, comme pour impliquer qu'elles sont utilisées pour décoder des chaînes. Après vérification, nous avons constaté que ces codes masqués avaient été réutilisés à partir d'un référentiel open source.
Le programme d'installation établit la persistance des portes dérobées TONESHELL à l'aide de la commande schtasks suivante :
schtasks /create /sc minute /mo 2 /tn "ServiceHub.TestWindowStoreHost" /tr "C:\Users\Public\Pictures\ServiceHub.TestWindowStoreHost.exe" /f
Sur la base de nos observations, les noms de fichiers du logiciel malveillant TONESHELL abandonné diffèrent selon la casse, tout comme les noms des tâches planifiées. Une fois la persistance établie, TONESHELL copie ensuite l'exécutable légitime et la DLL malveillante dans le dossier %PUBLIC%, dans lequel les deux fichiers ont des noms commençant par "~" dans l'archive leurre. Dans cet exemple, ~$20220817.docx est un exécutable légitime utilisé pour le chargement latéral de DLL, et ~$20220617(1).docx est la DLL de porte dérobée TONESHELL à installer.
Porte dérobée.Win32.TONESHELL
Le malware TONESHELL est la principale porte dérobée utilisée dans cette campagne. C'est un chargeur de shellcode qui charge et décode le shellcode de la porte dérobée avec une clé de 32 octets en mémoire. Dans la version antérieure de TONESHELL, il possède les fonctionnalités du logiciel malveillant TONEINS, notamment l'établissement de la persistance et l'installation de portes dérobées. Cependant, la version la plus récente de TONESHELL est une porte dérobée autonome sans aucune capacité d'installation (comme le fichier ~$Talk points.docx). Il est également obscurci de la même manière que le malware TONEINS, indiquant que les acteurs continuent de mettre à jour l'arsenal et de séparer les outils afin de contourner la détection.
Anti-Analysis : vérification du nom du processus
Afin de s'assurer que le TONESHELL est correctement installé, Backdoor.Win32.TONESHELL vérifie d'abord si le chemin du processus correspond à celui attendu. Si c'est le cas, le code malveillant pourrait être déclenché par le gestionnaire d'exceptions personnalisé.
Anti-Analysis : gestionnaire d'exceptions personnalisé en C++
Fait intéressant, l'adversaire cache le flux de code réel avec la mise en œuvre de gestionnaires d'exceptions personnalisés. Différents gestionnaires d'exceptions seront invoqués en fonction du résultat de la vérification du nom du processus, poursuivant la routine malveillante en déclenchant l'exception avec l'appel _CxxThrowException. Après son appel, le runtime C++ trouvera le gestionnaire d'exceptions correspondant de la structure ThrowInfo jusqu'au membre CatchProc dans la structure _msRttiDscr, qui contient les codes malveillants réels. Dans cet exemple, le gestionnaire d'exceptions se trouve au décalage 0x10005300. Cette technique masque non seulement le flux d'exécution, mais arrête également l'exécution du débogueur de l'analyste.
Anti-analyse : vérification de ForegroundWindow
En regardant des échantillons TONESHELL plus récents, nous avons remarqué qu'une nouvelle technique anti-sandbox est ajoutée par rapport aux versions précédentes. Les versions les plus récentes invoquent deux fois l'API GetForegroundWindow et vérifient s'il existe un commutateur de fenêtre. Si l'environnement est un bac à sable, les deux appels obtiendront le même handle de fenêtre car il n'y a pas d'interaction humaine impliquée dans la plupart des bacs à sable, ce qui fait que la fenêtre de premier plan ne change pas. De plus, en tant que technique anti-sandbox et d'exécution retardée, la routine malveillante ne peut être déclenchée que si la fenêtre de premier plan a déjà été commutée pour la cinquième fois.
Décodage du shellcode
Après le déclenchement du gestionnaire d'exceptions malveillantes, il commence à décoder le shellcode TONESHELL de l'étape suivante. Pour décoder le shellcode, il décode d'abord une clé de 32 octets dans les opérations XOR avec 0x7D, et la clé sera ensuite utilisée pour décoder le corps du shellcode.
Variantes évolutives
Après notre analyse et une recherche plus approfondie des menaces, nous avons trouvé plusieurs variantes du shellcode TONESHELL :
Tableau 5. Différences entre les variantes de TONESHELL
Variante A
TONESHELL prend en charge jusqu'à 10 serveurs C&C par conception, mais dans tous les échantillons que nous avons rencontrés, un seul serveur C&C a été utilisé. Avant de se connecter au serveur C&C, il génère un ID de victime (la variable unique_id) avec le numéro de série du volume de la victime et le nom de l'ordinateur, ou avec un GUID généré aléatoirement.
Dans le premier beacon, il collecte les données suivantes de la machine de la victime et les envoie au serveur C&C :
TONESHELL communique via TCP brut, avec l'en-tête de requête et l'en-tête de réponse commençant par la séquence d'octets magiques spécifique "17 03 03". D'après nos recherches, cet en-tête magique est utilisé dans toutes les variantes de TONESHELL TCP et le logiciel malveillant PUBLOAD identifié. La charge utile dans le paquet sera chiffrée dans l'algorithme RC4. Dans cette variante, son format de paquet de requête est le suivant :
Tableau 6. Format de paquet de requête dans la variante A de TONESHELL
La porte dérobée prend en charge diverses fonctions, notamment le téléchargement de fichiers, le téléchargement de fichiers, l'exécution de fichiers et le mouvement latéral. Nous avons également remarqué que ses chaînes internes sont explicites. En fait, ce malware est nommé TONESHELL d'après la faute de frappe trouvée dans sa commande "TOnePipeShell". Le tableau suivant montre toutes ses commandes :
Tableau 7. Codes de commande dans TONESHELL variante A
Variante B
La variante B de TONESHELL est légèrement différente de la variante A dans laquelle l'ID de la victime est généré à la place à partir du nombre de ticks, du nom d'utilisateur et du nom de l'ordinateur.
Le protocole de la porte dérobée est également différent. La charge utile dans le paquet est codée avec une clé aléatoire de 32 octets, et la clé diffère d'un paquet à l'autre. La nouvelle clé est générée chaque fois qu'une nouvelle demande est faite.
Tableau 8. Format de paquet de requête dans la variante B de TONESHELL
Les codes de commande dans cette variante sont les suivants :
Tableau 9. Codes de commande dans TONESHELL Variante B
Variante C
Au cours de nos recherches, nous avons recherché un shellcode TONESHELL sous-évalué de VirusTotal (SHA256 : 521662079c1473adb59f2d7134c8c1d76841f2a0f9b9e6e181aa54df25715a09). Notre analyse a montré que cela fonctionne de manière similaire aux deux variantes différentes, mais le protocole C&C utilisé est HTTP. Il semble que ce soit la version antérieure de TONESHELL car l'échantillon a été téléchargé en septembre 2021 et utilise la méthode POST pour la première balise. Les données suivantes sont collectées à partir de la machine de la victime :
L'ID de la victime (spécifié par l'en-tête "Guid" dans la première balise et utilisé plus tard dans l'en-tête "Cookie") est également généré à partir d'un GUID aléatoire. Le corps est également crypté en RC4 et les codes de commande ressemblent beaucoup à la variante B comme suit :
Tableau 10. Codes de commande dans TONESHELL variante C
Nous avons observé que plusieurs échantillons de logiciels malveillants TONESHELL et TONEINS ont été téléchargés sur VirusTotal au cours des derniers mois. Avec l'aide de ceux-ci, nous avons collecté plusieurs liens Google Drive, tels que 770d5b60d8dc0f32941a6b530c9598df92a7ec76b60309aa8648f9b3a3f3cca5.
Habituellement, nous voyons ces liens de téléchargement comme les premiers vecteurs d'arrivée. Le lien de téléchargement direct de Google Drive est représenté au format https[:]//drive.google.com/uc?id=gdrive_file_id&export=download. Le gdrive_file_id est un identifiant unique pour ce fichier spécifique. Nous pouvons passer à la visionneuse Web pour vérifier le contenu de son fichier et son propriétaire en modifiant l'URL : https[:]//drive.google.com/file/d/gdrive_file_id/view.
Dans le panneau de détails, nous pouvons trouver le propriétaire de ce fichier, et en survolant l'icône, nous pouvons obtenir l'adresse e-mail.
Nous pouvons effectuer des recherches supplémentaires avec ce compte de messagerie spécifique. Par exemple, après notre enquête, nous savons que les acteurs ont abusé de la même adresse e-mail pour stocker les archives de leurre dans Google Drive, ainsi que pour livrer l'e-mail de phishing. Si nous recherchons cette adresse e-mail spécifique dans les journaux de surveillance, nous pourrions trouver davantage de logiciels malveillants distribués.
Les TTP observés dans cette campagne sont similaires à la campagne mentionnée par Secureworks. Les deux campagnes ont abusé des fichiers .lnk pour déclencher le malware. Par rapport aux observations dudit rapport, les archives que nous avons trouvées dans cette campagne partagent des structures de dossiers similaires.
Sur la base du même rapport, Bronze President était connu pour tirer parti des API avec un argument de fonction de rappel pour invoquer le shellcode comme EnumThreadWindows. Des techniques similaires sont également utilisées dans les logiciels malveillants PUBLOAD.
De plus, nous avons également repéré un lien entre les deux campagnes : Un des serveurs C&C (98[.]142[.]251[.]29) peut être corrélé à un fichier de raccourci. Ce fichier de raccourci apparaît dans une archive leurre "EU 31st session of the Commission on Crime Prevention and Criminal Justice United Nations on Drugs and Crime.rar" (SHA256 : 09fc8bf9e2980ebec1977a8023e8a2940e6adb5004f48d07ad34b71ebf35b877), que le rapport Secureworks mentionne également. Nous avons utilisé l'outil LECmd pour analyser les fichiers de raccourcis dans lesquels nous avons trouvé la chaîne C&C spécifique dans les métadonnées du fichier .lnk. Il semble que l'acteur ait utilisé la chaîne C&C comme nom de dossier.
Troisièmement, les chaînes d'infection mentionnées par Cisco Talos ressemblent également à ce que nous avons observé récemment :
Plus important encore, le stager mentionné dans le rapport utilise le même en-tête magique (17 03 03) que TONESHELL dans le protocole de communication C&C, renforçant ainsi le lien de ces familles de logiciels malveillants avec Earth Preta.
Earth Preta est un groupe de cyberespionnage connu pour développer ses propres chargeurs en combinaison avec des outils existants comme PlugX et Cobalt Strike pour le compromis. Des documents de recherche récents montrent qu'il met constamment à jour ses outils et indiquent qu'il étend encore ses capacités.
D'après notre analyse, une fois que le groupe a infiltré les systèmes d'une victime ciblée, les documents sensibles volés peuvent être utilisés à mauvais escient comme vecteurs d'entrée pour la prochaine vague d'intrusions. Cette stratégie élargit largement le périmètre impacté dans la région concernée. Pour les objectifs du groupe, la zone ciblée semble être les pays d'Asie.
Dans le cadre des plans d'atténuation organisationnels, nous recommandons de mettre en place des formations continues de sensibilisation au phishing pour les partenaires et les employés. Nous vous conseillons de toujours vérifier l'expéditeur et le sujet deux fois avant d'ouvrir un e-mail, en particulier avec un expéditeur non identifiable ou un sujet inconnu. Nous recommandons également une solution de protection multicouche pour détecter et bloquer les menaces le plus loin possible de la chaîne d'infection des logiciels malveillants.
AT&CT D'ONGLET
La liste complète des CIO est disponible ici.
Nick Daï
Chercheur principal sur les menaces
Vickie Su
Analyste des menaces
Lu ensoleillé
Analyste des menaces