Un gouvernement anonyme d’Asie du Sud-Est a été ciblé par plusieurs acteurs menaçants liés à la Chine dans le cadre de campagnes d’espionnage ciblant la région sur de longues périodes.
« Bien que cette activité se soit produite à peu près au même moment et dans certains cas même simultanément sur les machines des mêmes victimes, chaque cluster est caractérisé par des outils, un mode de fonctionnement et une infrastructure distincts », ont déclaré Lior Rochberger, Tom Fakterman et Robert, chercheurs de l’unité 42 de Palo Alto Networks. Faucon dit dans un rapport exhaustif en trois parties.
Les attaques, qui visaient différentes entités gouvernementales telles que des infrastructures critiques, des établissements de santé publics, des administrateurs des finances publiques et des ministères, ont été attribuées avec une confiance modérée à trois groupes disparates suivis comme Stately Taurus (alias Mustang Panda), Alloy Taurus (alias Granite Typhoon) et Gelsemium.
Mustang Panda utilise la variante TONESHELL et ShadowPad
« Les attaquants ont mené une opération de cyberespionnage axée sur la collecte de renseignements ainsi que sur le vol de documents et d’informations sensibles, tout en maintenant une présence persistante et clandestine », ont indiqué les chercheurs. ditle décrivant comme « hautement ciblé et axé sur le renseignement ».
L’activité s’est étendue du deuxième trimestre 2021 au troisième trimestre 2023, exploitant un assortiment d’outils pour effectuer des reconnaissances, voler des informations d’identification, maintenir l’accès et mener des actions post-compromis.
Certains des logiciels notables utilisés pour atteindre ces objectifs comprennent le cadre d’analyse open source LadonGo, Recherche d’annonces, Mimikatz, Impacket, Hachoir de Chine des web shells, Cobalt Strike, ShadowPad et une nouvelle version de la porte dérobée TONESHELL.
Le malware évite l’utilisation de shellcode au profit de trois composants basés sur DLL pour configurer la persistance sur le point final, établir des communications de commande et de contrôle avec un serveur distant et effectuer des opérations de collecte d’informations, notamment l’exécution de commandes et l’interaction du système de fichiers. , keylogging et capture d’écran.
« Au cours de l’opération, l’acteur menaçant a lentement pris le contrôle de l’environnement des victimes, se concentrant sur le maintien du contrôle pour une opération à long terme », ont noté les chercheurs. « Le but des efforts des acteurs menaçants semble être la collecte et l’exfiltration continues de documents et de renseignements sensibles. »
Alloy Taurus vise à voler sous le radar
L’ensemble des intrusions liées à Alloy Taurus aurait commencé début 2022 et s’est poursuivi tout au long de 2023, en exploitant des techniques inhabituelles et en contournant les produits de sécurité pour une persistance et une reconnaissance à long terme.
Ces attaques, se produisant en six vagues différentes, exploitent les failles de sécurité des serveurs Microsoft Exchange pour déployer des shells Web, qui servent ensuite de canal pour fournir des charges utiles supplémentaires, en comptant deux portes dérobées .NET jusqu’alors inconnues, Zapoa et ReShell, pour exécuter des commandes arbitraires à distance et récolter des données sensibles. données.
Zapoa intègre également des fonctionnalités permettant d’extraire des informations système, d’exécuter du shellcode, d’énumérer les processus en cours, de charger davantage de fichiers d’assemblage .NET pour augmenter ses capacités et d’horodater les fichiers et les artefacts avec une date fournie, une technique appelée horodatage.
« L’acteur malveillant derrière ce cluster a utilisé une approche mature, utilisant des intrusions multi-ondes et exploitant les vulnérabilités des serveurs Exchange comme principal vecteur de pénétration », ont déclaré les chercheurs. dit.
Dans certains cas, Alloy Taurus a également été observé en train de voler des informations d’identification pour faciliter les mouvements latéraux en abusant de l’outil d’administration à distance AnyDesk déjà présent dans l’environnement infiltré.
IA contre IA : exploiter les défenses de l’IA contre les risques liés à l’IA
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Certains des autres logiciels installés par l’acteur malveillant incluent Cobalt Strike, Quasar RAT, HDoor (une porte dérobée précédemment utilisée par des groupes chinois comme Naïkon et Goblin Panda), une variante Gh0st RAT connue sous le nom de Gh0stCringeet Winntiun implant multifonctionnel capable d’accorder le contrôle à distance à une machine infectée.
Gelsemium distingue les serveurs IIS vulnérables
« Ce cluster unique a eu une activité s’étendant sur six mois entre 2022 et 2023 », ont déclaré les chercheurs. noté.
« Il comportait une combinaison d’outils et de techniques rares que l’acteur malveillant a exploités pour prendre pied clandestinement et collecter des renseignements sur des serveurs IIS sensibles appartenant à une entité gouvernementale en Asie du Sud-Est. »
Les chaînes d’attaque capitalisent sur des serveurs Web vulnérables pour installer des shells Web et distribuer des portes dérobées comme OwlProxy et SessionManager, tout en utilisant simultanément d’autres outils tels que Cobalt Strike, Mètre-interprète, Ver de terreet Bobineimbécile pour la post-exploitation, la tunnelisation du trafic de commande et de contrôle et l’élévation de privilèges.
OwlProxy est un proxy HTTP avec une fonctionnalité de porte dérobée qui est apparu pour la première fois en avril 2020. SessionManager, détaillé par Kaspersky en juillet dernier, est une porte dérobée personnalisée conçue pour analyser les Champ des cookies dans les requêtes HTTP entrantes pour extraire les commandes émises par l’attaquant.
« L’auteur de la menace a obtenu l’accès via l’utilisation de plusieurs shells Web, suite à la tentative d’installation de plusieurs types de logiciels malveillants proxy et d’une porte dérobée IIS », ont indiqué les chercheurs. « Comme certaines tentatives des acteurs malveillants pour installer des logiciels malveillants ont échoué, ils ont continué à fournir de nouveaux outils, démontrant leur capacité à s’adapter au processus d’atténuation. »