Les chercheurs en cybersécurité ont dévoilé mardi les détails d’une campagne sophistiquée qui déploie des portes dérobées malveillantes dans le but d’exfiltrer des informations d’un certain nombre de secteurs industriels situés au Japon.
Surnommé «A41APT» par les chercheurs de Kaspersky, les résultats plongent dans une nouvelle série d’attaques menées par APT10 (alias Stone Panda ou Cicada) utilisant des logiciels malveillants auparavant non documentés pour fournir jusqu’à trois charges utiles telles que SodaMaster, P8RAT et FYAnti.
L’opération de collecte de renseignements de longue date est entrée en scène en mars 2019, avec des activités repérées aussi récemment qu’en novembre 2020, lorsque rapports émergé d’entreprises liées au Japon ciblées par l’acteur de la menace dans plus de 17 régions du monde.
Les nouvelles attaques découvertes par Kaspersky se seraient produites en janvier 2021. La chaîne d’infection s’appuie sur un processus d’attaque en plusieurs étapes, l’intrusion initiale se produisant via un abus de SSL-VPN en exploitant des vulnérabilités non corrigées ou des informations d’identification volées.
Au centre de la campagne se trouve un malware appelé Ecipekac («Cake piece» à l’envers, mais avec une faute de frappe) qui traverse un «schéma de chargement compliqué» à quatre couches en utilisant quatre fichiers pour «charger et décrypter quatre modules de chargement sans fichier un après l’autre pour finalement charger la charge utile finale en mémoire. «
Alors que l’objectif principal de P8RAT et SodaMaster est de télécharger et d’exécuter des charges utiles récupérées à partir d’un serveur contrôlé par un attaquant, l’enquête de Kaspersky n’a donné aucun indice sur le malware exact livré sur les systèmes Windows cibles.
Fait intéressant, la troisième charge utile, FYAnti, est un module de chargement multicouche en lui-même qui passe par deux couches successives supplémentaires pour déployer un cheval de Troie d’accès à distance de dernière étape appelé QuasarRAT (ou xRAT).
« Les opérations et les implants de la campagne … sont remarquablement furtifs, ce qui rend difficile le suivi des activités de l’acteur menaçant », chercheur de Kaspersky Suguru Ishimaru m’a dit. « Les principales fonctionnalités furtives sont les implants sans fichier, l’obfuscation, l’anti-VM et la suppression des pistes d’activité. »