Les pirates informatiques perfectionnent les techniques nécessaires pour contourner les solutions de cybersécurité
Selon une récente campagne menée par Earth Preta, les pirates d'État alignés sur la Chine sont de plus en plus habiles à contourner les solutions de sécurité. L'acteur de la menace est actif depuis au moins 2012 et est connu sous les noms de Bronze President, HoneyMyte, Mustang Panda, RedDelta et Red Lich.
Le groupe lance des chaînes d'attaque par des courriels de spear-phishing, déployant une gamme d'outils pour l'accès aux portes dérobées, le commandement et le contrôle (C2) et l'exfiltration de données. Les messages sont accompagnés d'archives malveillantes distribuées via des liens Dropbox ou Google Drive qui utilisent le chargement latéral de DLL, des fichiers raccourcis LNK et de fausses extensions de fichiers comme vecteurs d'arrivée pour prendre pied et déposer des portes dérobées telles que TONEINS, TONESHELL, PUBLOAD et MQsTTang (alias QMAGENT).
Selon une nouvelle analyse publiée par Trend Micro, "Earth Preta a tendance à dissimuler des charges utiles malveillantes dans de faux fichiers, en les déguisant en fichiers légitimes - une technique qui s'est avérée efficace pour éviter la détection". Cette méthode de point d'entrée, détectée pour la première fois l'année dernière, a été modifiée depuis. Le lien de téléchargement de l'archive est intégré dans un autre document leurre et le fichier est protégé par un mot de passe afin de contourner les solutions de passerelle de messagerie.
Les chercheurs ont déclaré : "Les fichiers peuvent ensuite être extraits à l'intérieur par le biais du mot de passe fourni dans le document. En utilisant cette technique, l'acteur malveillant à l'origine de l'attaque peut contourner avec succès les services d'analyse."
Une fois que les pirates ont obtenu l'accès initial à l'environnement de la victime, ils passent aux phases de découverte des comptes et d'escalade des privilèges. Mustang Panda s'appuie sur des outils personnalisés tels que ABPASS et CCPASS pour contourner le contrôle des comptes utilisateurs (UAC) dans Windows 10.
En outre, l'acteur de la menace a été observé en train de déployer des logiciels malveillants tels que "USB Driver.exe" (HIUPAN ou MISTCLOAK) et "rzlog4cpp.dll" (ACNSHELL ou BLUEHAZE) pour s'installer sur des disques amovibles et créer un shell inversé dans le but de se déplacer latéralement à travers le réseau.
Parmi les autres utilitaires déployés figurent CLEXEC, une porte dérobée capable d'exécuter des commandes et d'effacer les journaux d'événements ; COOLCLIENT et TROCLIENT, des implants conçus pour enregistrer les frappes au clavier ainsi que pour lire et supprimer des fichiers ; et PlugX. "Outre les outils légitimes bien connus, les acteurs de la menace ont également conçu des outils hautement personnalisés utilisés pour l'exfiltration", notent les chercheurs. Il s'agit de NUPAKAGE et ZPAKAGE, qui sont tous deux équipés pour collecter des fichiers Microsoft Office.
L'étude montre que les acteurs chinois du cyberespionnage augmentent leur rythme opérationnel et investissent constamment dans l'amélioration de leur armement cybernétique afin d'échapper à la détection. "Earth Preta est un acteur capable et organisé qui perfectionne continuellement ses TTP, renforce ses capacités de développement et construit un arsenal polyvalent d'outils et de logiciels malveillants", concluent les chercheurs.
Les sources de cet article comprennent un article de TheHackerNews.