L'APT31 chinois soupçonné d'avoir attaqué des systèmes isolés en Europe de l'Est

Un acteur de l’État-nation ayant des liens avec la Chine est soupçonné d’être à l’origine d’une série d’attaques contre des organisations industrielles d’Europe de l’Est qui ont eu lieu l’année dernière pour siphonner des données stockées sur des systèmes isolés.

La société de cybersécurité Kaspersky a attribué les intrusions avec un niveau de confiance moyen à élevé à une équipe de piratage appelée APT31qui est également suivi sous les surnoms Bronze Vinewood, Judgment Panda et Violet Typhoon (anciennement Zirconium), citant des points communs dans les tactiques observées.

Les attaques impliquaient l’utilisation de plus de 15 implants distincts et de leurs variantes, répartis en trois grandes catégories en fonction de leur capacité à établir un accès à distance persistant, à collecter des informations sensibles et à transmettre les données collectées à une infrastructure contrôlée par les acteurs.

« L’un des types d’implants semblait être un logiciel malveillant modulaire sophistiqué, visant à profiler les disques amovibles et à les contaminer avec un ver pour exfiltrer les données des réseaux isolés ou isolés d’organisations industrielles en Europe de l’Est », a déclaré Kaspersky.

« L’autre type d’implant est conçu pour voler des données à partir d’un ordinateur local et les envoyer à Dropbox à l’aide des implants de la prochaine étape. »

Un ensemble de portes dérobées comprend diverses versions d’une famille de logiciels malveillants appelée FourteenHi qui sont utilisées depuis au moins la mi-mars 2021 et qui sont livrées avec un large éventail de fonctionnalités pour télécharger et télécharger des fichiers arbitraires, exécuter des commandes, démarrer un reverse shell, et effacer leur propre présence des hôtes compromis.

Une deuxième porte dérobée de première étape utilisée pour l’accès à distance et la collecte de données initiale est MeatBall, qui possède des capacités pour répertorier les processus en cours d’exécution, énumérer les appareils connectés, effectuer des opérations sur les fichiers, capturer des captures d’écran et se mettre à jour automatiquement.

On a également découvert un troisième type d’implant de première étape qui utilise Yandex Cloud pour la commande et le contrôle, reflétant des conclusions similaires de Positive Technologies en août 2022 détaillant les attaques APT31 ciblant les médias et les entreprises énergétiques russes.

« La tendance à abuser des services cloud (par exemple, Dropbox, Yandex, Google, etc.) n’est pas nouvelle, mais elle continue de se développer, car il est difficile de restreindre / atténuer dans les cas où les processus métier d’une organisation dépendent de l’utilisation de ces services, » ont déclaré les chercheurs de Kaspersky.

« Les acteurs de la menace continuent de compliquer la détection et l’analyse des menaces en cachant les charges utiles sous forme cryptée dans des fichiers de données binaires séparés et en cachant le code malveillant dans la mémoire des applications légitimes via le détournement de DLL et une chaîne d’injections de mémoire. »

APT31 a également été observé utilisant des implants dédiés pour collecter des fichiers locaux ainsi que pour exfiltrer des données à partir de systèmes isolés en infectant des lecteurs amovibles.

Cette dernière souche de logiciels malveillants se compose d’au moins trois modules, chaque composant étant responsable de différentes tâches, telles que le profilage et la gestion des lecteurs amovibles, l’enregistrement des frappes et des captures d’écran, et l’implantation de logiciels malveillants de deuxième étape sur les lecteurs nouvellement connectés.

« Les efforts délibérés de l’acteur malveillant pour masquer ses actions par le biais de charges utiles cryptées, d’injections de mémoire et de détournements de DLL [underscore] la sophistication de leurs tactiques », a déclaré Kirill Kruglov, chercheur principal en sécurité chez Kaspersky ICS CERT.

« Bien que l’exfiltration des données des réseaux isolés soit une stratégie récurrente adoptée par de nombreux APT et des campagnes de cyberespionnage ciblées, cette fois, elle a été conçue et mise en œuvre uniquement par l’acteur. »

Alors que les chaînes d’attaque susmentionnées sont expressément conçues pour l’environnement Windows, il est prouvé qu’APT31 a également jeté son dévolu sur les systèmes Linux.

Plus tôt ce mois-ci, le centre de réponse d’urgence de sécurité AhnLab (ASEC) a découvert des attaques probablement menées par l’adversaire contre des entreprises sud-coréennes dans le but d’infecter les machines avec une porte dérobée appelée Rekoobe.

« Rekoobe est une porte dérobée qui peut recevoir des commandes d’un [command-and-control] serveur pour effectuer diverses fonctionnalités telles que le téléchargement de fichiers malveillants, le vol de fichiers internes d’un système et l’exécution d’un shell inversé », a déclaré l’ASEC.

« Bien qu’il puisse sembler simple dans sa structure, il utilise le cryptage pour échapper à la détection des paquets réseau et peut exécuter une variété de comportements malveillants via des commandes de l’acteur de la menace. »

L’APT31 chinois soupçonné d’avoir attaqué des systèmes isolés en Europe de l’Est

À l’intérieur du code d’une nouvelle variante de XWorm

Une nouvelle campagne d’extraction de crypto-monnaie cible les systèmes Linux et les appareils IoT

Comblez les failles de sécurité grâce à la gestion continue de l’exposition aux menaces

La nouvelle attaque BrutePrint permet aux attaquants de déverrouiller les smartphones avec la force brute d’empreintes digitales

Les secrets, les secrets ne sont pas amusants. Secrets, secrets (stockés dans des fichiers en texte brut) blessent quelqu’un

Deux pirates informatiques de LAPSUS$ condamnés par un tribunal de Londres pour le piratage d’une entreprise technologique de premier plan

A lire également