Le gouvernement et les organisations publiques d’un certain nombre de pays asiatiques ont été ciblés par un groupe distinct de pirates informatiques dans le cadre d’une mission de collecte de renseignements en cours depuis le début de 2021.
« Une caractéristique notable de ces attaques est que les attaquants ont exploité une large gamme de progiciels légitimes afin de charger leurs charges utiles de logiciels malveillants à l’aide d’une technique connue sous le nom de Chargement latéral de DLL« , l’équipe Symantec Threat Hunter, qui fait partie de Broadcom Software, a dit dans un rapport partagé avec The Hacker News.
La campagne serait exclusivement destinée aux institutions gouvernementales liées à la finance, à l’aérospatiale et à la défense, ainsi qu’aux entreprises publiques de médias, d’informatique et de télécommunications.
Le chargement latéral de la bibliothèque de liens dynamiques (DLL) est une méthode de cyberattaque populaire qui exploite la façon dont les applications Microsoft Windows gèrent les fichiers DLL. Lors de ces intrusions, une DLL malveillante usurpée est implantée dans Windows Side-by-Side (WinSxS) afin que le système d’exploitation le charge à la place du fichier légitime.
Les attaques impliquent l’utilisation de versions anciennes et obsolètes de solutions de sécurité, de logiciels graphiques et de navigateurs Web qui ne disposent pas d’atténuations pour le chargement latéral de DLL, les utilisant comme conduit pour charger un shellcode arbitraire conçu pour exécuter des charges utiles supplémentaires.
En outre, les progiciels se doublent également d’un moyen de fournir des outils pour faciliter le vol d’informations d’identification et le mouvement latéral sur le réseau compromis.
« [The threat actor] ont exploité PsExec pour exécuter d’anciennes versions de logiciels légitimes qui ont ensuite été utilisées pour charger des outils malveillants supplémentaires tels que des chevaux de Troie d’accès à distance (RATS) prêts à l’emploi via le chargement latéral de DLL sur d’autres ordinateurs sur les réseaux », ont noté les chercheurs.
L’une des attaques contre une organisation gouvernementale du secteur de l’éducation en Asie a duré d’avril à juillet 2022, au cours de laquelle l’adversaire a accédé à des machines hébergeant des bases de données et des e-mails, avant d’accéder au contrôleur de domaine.
L’intrusion a également utilisé une version vieille de 11 ans de Bitdefender Crash Handler (« javac.exe ») pour lancer une version renommée de Mimikatz (« calc.exe »), un framework de test d’intrusion Golang open source appelé LadonAlleret d’autres charges utiles personnalisées sur plusieurs hôtes.
L’un d’entre eux est un voleur d’informations riche en fonctionnalités, jusqu’alors non documenté, capable d’enregistrer des frappes au clavier, de capturer des captures d’écran, de se connecter et d’interroger des bases de données SQL, de télécharger des fichiers et de voler des données de presse-papiers.
Un outil d’analyse intranet accessible au public nommé Fscan est également utilisé dans l’attaque pour effectuer des tentatives d’exploitation en exploitant les vulnérabilités de ProxyLogon Microsoft Exchange Server.
L’identité du groupe de menaces n’est pas claire, bien qu’il ait utilisé ShadowPad lors de campagnes précédentes, une porte dérobée modulaire conçue comme un successeur de PlugX (alias Korplug) et partagée par de nombreux acteurs chinois de la menace.
Symantec a déclaré qu’il disposait de preuves limitées reliant les attaques antérieures de l’acteur menaçant impliquant le malware PlugX à d’autres groupes de piratage chinois tels que APT41 (alias Wicked Panda) et Mustang Panda. De plus, l’utilisation d’un fichier Bitdefender légitime pour charger le shellcode a été observée lors d’attaques précédentes attribuées à APT41.
« L’utilisation d’applications légitimes pour faciliter le chargement latéral de DLL semble être une tendance croissante parmi les acteurs d’espionnage opérant dans la région », ont déclaré les chercheurs. « Bien qu’il s’agisse d’une technique bien connue, elle doit donner un certain succès aux attaquants compte tenu de sa popularité actuelle. »