L’acteur menaçant chinois connu sous le nom d’APT31 (alias Bronze Vinewood, Judgment Panda ou Violet Typhoon) a été lié à un ensemble de portes dérobées avancées capables d’exfiltrer des informations sensibles récoltées vers Dropbox.
Le malware fait partie d’une collection plus large de plus de 15 implants qui ont été utilisés par l’adversaire dans des attaques ciblant des organisations industrielles en Europe de l’Est en 2022.
« Les attaquants visaient à établir un canal permanent pour l’exfiltration de données, y compris les données stockées sur des systèmes isolés », a déclaré Kaspersky dans une analyse mettant en lumière l’artisanat d’APT31 jusqu’alors non documenté.
Les intrusions utilisent une pile de logiciels malveillants en trois étapes, chacune axée sur des aspects disparates de la chaîne d’attaque : configuration de la persistance, collecte de données sensibles et transmission des informations à un serveur distant sous le contrôle des attaquants.
Certaines variantes des portes dérobées de deuxième étape sont également dotées de fonctionnalités conçues pour rechercher des noms de fichiers dans le dossier Microsoft Outlook, exécuter des commandes à distance et utiliser le composant de troisième étape pour terminer l’étape d’exfiltration de données sous la forme de fichiers d’archive RAR.
« La première étape est utilisée pour la persistance, le déploiement et le démarrage du module de malware de deuxième étape, qui est chargé de télécharger les fichiers collectés sur le serveur en appelant l’implant de troisième étape et de nettoyer », a déclaré la société russe de cybersécurité.
Dans ce qui est une nouvelle tournure, APT31 aurait utilisé un commandement et contrôle (C2) à l’intérieur du périmètre de l’entreprise et l’aurait utilisé comme proxy pour siphonner les données des systèmes qui n’avaient pas d’accès direct à Internet, indiquant des tentatives claires de distinguer hôtes isolés.
Kaspersky a déclaré avoir également repéré des outils supplémentaires utilisés par l’attaquant pour télécharger manuellement les données sur Yandex Disk et d’autres services de partage de fichiers temporaires tels que extraimage, imgbb, imgshare, schollz et zippyimage, entre autres. Un troisième implant similaire est configuré pour envoyer les données via le service de messagerie Yandex.
Les résultats mettent en évidence la planification méticuleuse et la capacité de l’acteur de la menace à s’adapter et à développer de nouvelles capacités dans ses activités de cyberespionnage.
« L’abus des stockages de données populaires basés sur le cloud peut permettre à l’acteur ou aux acteurs de la menace d’échapper aux mesures de sécurité », a déclaré la société. « En même temps, cela ouvre la possibilité que des données volées soient divulguées une deuxième fois dans le cas où un tiers aurait accès à un stockage utilisé par le ou les acteurs de la menace. »
