Cyberattaque

Un nouveau groupe APT cible le gouvernement et l’armée avec des logiciels malveillants personnalisés

Par Philippe Ternision , le 11 janvier 2023 , mis à jour le 11 janvier 2023 - 5 minutes de lecture
hackeur
5/5 - (1 vote)

Ce qui semble être un nouvel acteur de la menace avancée a été accusé d’attaques contre des organisations militaires et des institutions gouvernementales dans un certain nombre de pays de l’APAC. Cet acteur utilise un logiciel malveillant propriétaire pour voler des informations sensibles.

Les experts en sécurité qualifient cette organisation de Dark Pink (Group-IB) ou de Saaiwc Group (Anheng Hunting Labs), indiquant qu’elle utilise des stratégies, des méthodologies et des pratiques (TTP) inhabituelles.

La boîte à outils unique employée dans les attaques a la capacité de transmettre des logiciels malveillants et d’obtenir furtivement des informations à l’aide de clés USB

. Sur les systèmes infectés, l’acteur a exécuté ses charges utiles via des techniques d’exécution déclenchée par événement et de chargement de DLL.

Selon un rapport de la société de cybersécurité Group-IB, l’acteur de la menace souhaite exfiltrer des documents, accéder aux messageries, prendre des informations dans les navigateurs de la victime et enregistrer des données audio à partir du microphone de l’appareil infecté.

Dark Pink est considéré comme une menace persistante avancée (APT), et entre juin et décembre 2022, au moins sept de ses attaques ont été couronnées de succès.

Overview of Dark Pink activities
Aperçu des activités de Dark Pink (Groupe-IB)

Compromission initiale

La victime a été amenée à télécharger un fichier image ISO malveillant par des courriels de harcèlement qui semblaient être des demandes d’emploi, ce qui est souvent la façon dont Dark Pink lance son attaque initiale. Group-IB a constaté de nombreuses modifications dans la chaîne d’attaque après cette étape.

L’une d’elles utilise un fichier ISO complet comprenant un faux document, un fichier DLL malveillant et un exécutable signé, ce qui lui permet de déployer l’un des deux voleurs d’informations personnalisés du groupe (Ctealer ou Cucky) via un chargement latéral de DLL. L’implant de registre TelePowerBot sera supprimé dans la phase suivante.

Un document Microsoft Office (.DOC) contenu dans un fichier ISO est utilisé dans une autre chaîne d’attaque. Une macro malveillante est téléchargée depuis GitHub lorsque la victime ouvre le fichier, chargeant TelePowerBot et apportant des modifications au registre Windows.

La chaîne d’attaque initiale a été répétée dans une troisième chaîne d’attaque observée en décembre 2022. Cependant, le fichier ISO malveillant et l’approche de chargement latéral de DLL installent à la place de TelePowerBot un autre malware spécialisé appelé KamiKakaBot, destiné à lire et à exécuter des commandes.

Most recent attack chain
Troisième et plus récente chaîne d’attaques (Groupe-IB)

Les logiciels malveillants personnalisés

Les voleurs d’informations personnalisés Cucky et Ctealer ont été créés en C++ et en .NET, respectivement. À partir d’une longue liste de navigateurs Web, dont Chrome, Microsoft Edge, CocCoc, Chromium, Brave, Atom, Uran, Sputnik, Slimjet, Epic Privacy, Amigo, Vivaldi, Kometa, Nichrome, Maxthon, Comodo Dragon, Avast Secure Browser et Yandex Browser, ils s’efforcent tous deux de trouver et d’extraire les mots de passe, les historiques de navigation, les identifiants enregistrés et les cookies.

Cucky stealer code
Code du voleur Cucky (Groupe-IB)

Un implant de registre appelé TelePowerBot se connecte à un canal Telegram et commence à exécuter un script au démarrage du système pour recevoir des commandes PowerShell.

” Pendant l’infection, les acteurs de la menace exécutent plusieurs commandes standard (par exemple net share, Get-SmbShare) pour déterminer quelles ressources réseau sont connectées au périphérique infecté. Si une utilisation du disque réseau est trouvée, ils commenceront à explorer ce disque pour trouver des fichiers susceptibles de les intéresser et potentiellement les exfiltrer” – Group-IB

D’une manière générale, les commandes peuvent lancer des programmes de terminal simples ou des scripts PowerShell complexes qui permettent un mouvement latéral sur le stockage portable USB.

La version .NET de TelePowerBot, KamiKakaBot, possède les mêmes capacités de vol d’informations et cible les données stockées dans les navigateurs basés sur Firefox et Chrome.

KamiKakaBot malware code
Code du malware KamiKakaBot (Groupe-IB)

Dark Pink utilise un script en plus de ces outils pour enregistrer le son du microphone une fois par minute. Avant d’être transférées au bot Telegram, les informations sont d’abord enregistrées sous forme d’archive ZIP dans le dossier temporaire de Windows.

L’acteur de la menace emploie également ZMsg, un outil d’exfiltration de messagerie spécialisé qui peut être acquis sur GitHub. Les communications de Viber, Telegram et Zalo sont volées par l’utilitaire, qui les enregistre ensuite sur “%TEMP%KoVosRLvmU” jusqu’à leur exfiltration.

Anheng Hunting Labs, une entreprise chinoise de cybersécurité qui suit Dark Pink, également connu sous le nom de Saaiwc Group, a décrit certaines chaînes d’attaque dans un rapport précédent et a mentionné comment, dans l’une d’elles, l’acteur a utilisé un modèle Microsoft Office avec un macro-code malveillant pour exploiter une ancienne vulnérabilité de haute gravité connue sous le nom de CVE-2017-0199.

Les chercheurs soulignent que même si Group-IB peut confirmer avec un haut degré de certitude que Dark Pink était derrière sept attaques, le nombre réel pourrait être plus élevé.

L’entreprise a informé chacune des sept organisations de l’activité compromise de l’acteur de la menace, et elle gardera un œil sur les activités de Dark Pink.

 

 

 

  • Arai Renegade-V Helmet Casque Noir Rouge taille : L
    * Visière de SAV * Marzialische apparence, un nouveau look - groupe cible Cruiser * Ventilation très efficace - sans compromis de confort et de style articles: Arai Renegade-V Helmet Casque
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.