Une campagne de cyberattaques en cours en provenance de Chine cible le secteur des jeux d’argent en Asie du Sud-Est pour déployer des balises Cobalt Strike sur des systèmes compromis.
La société de cybersécurité SentinelOne a déclaré que les tactiques, techniques et procédures indiquent l’implication d’un acteur de la menace suivi comme Lumière des étoiles en bronze (alias Emperor Dragonfly ou Storm-0401), qui a été lié à l’utilisation de familles de rançongiciels de courte durée comme écran de fumée pour dissimuler ses motifs d’espionnage.
« Les acteurs de la menace abusent des exécutables Adobe Creative Cloud, Microsoft Edge et McAfee VirusScan vulnérables au piratage de DLL pour déployer des balises Cobalt Strike », ont déclaré les chercheurs en sécurité Aleksandar Milenkoski et Tom Hegel. dit dans une analyse publiée aujourd’hui.
Il convient également de noter que la campagne présente des chevauchements avec un ensemble d’intrusions surveillé par ESET sous le nom d’Opération ChattyGoblin. Cette activité, à son tour, partage des points communs avec une attaque de la chaîne d’approvisionnement qui a été révélée l’année dernière en exploitant un programme d’installation trojanisé pour l’application Comm100 Live Chat afin de distribuer une porte dérobée JavaScript.
L’attribution à un groupe précis reste un défi en raison des relations interconnectées et du vaste partage d’infrastructures et de logiciels malveillants qui prévaut entre divers acteurs de l’État-nation chinois.
Les attaques sont connues pour utiliser des programmes d’installation modifiés pour les applications de chat afin de télécharger un chargeur de logiciels malveillants .NET configuré pour récupérer une archive ZIP de deuxième étape à partir des compartiments Alibaba.
Le fichier ZIP consiste en un exécutable légitime vulnérable à Piratage d’ordre de recherche de DLLun DLL malveillante chargée latéralement par l’exécutable au démarrage, et un fichier de données crypté nommé agent.data.
Plus précisément, cela implique l’utilisation d’exécutables Adobe Creative Cloud, Microsoft Edge et McAfee VirusScan susceptibles d’être piratés par DLL pour déchiffrer et exécuter le code intégré dans le fichier de données, qui implémente une balise Cobalt Strike.
« Le chargeur est exécuté via un chargement latéral par des exécutables légitimes vulnérables au piratage de DLL et met en scène une charge utile stockée dans un fichier crypté », ont souligné les chercheurs.
SentinelOne a déclaré que l’un des chargeurs de logiciels malveillants .NET (« AdventureQuest.exe ») est signé à l’aide d’un certificat délivré à un fournisseur de VPN basé à Singapour appelé Ivacy VPN, indiquant le vol de la clé de signature à un moment donné. Digicert a depuis révoqué le certificat à partir de juin 2023.
Les fichiers DLL à chargement latéral sont des variantes de HUI Loader, un chargeur de logiciels malveillants personnalisé qui a été largement utilisé par des groupes basés en Chine tels que APT10, Bronze Starlight et TA410. On dit que APT10 et TA410 partagent des chevauchements comportementaux et d’outils, le premier étant également lié à un autre cluster appelé Earth Tengshe.
« Les acteurs de la menace liés à la Chine ont toujours partagé des logiciels malveillants, des infrastructures et des tactiques opérationnelles dans le passé, et continuent de le faire », ont déclaré les chercheurs, ajoutant que les activités « illustrent la nature complexe du paysage des menaces chinoises ».