Une fausse application Zoom propagée par le nouvel APT ‘LuminousMoth’

0

Un groupe de pirates informatiques nouvellement identifié et lié à la Chine a été découvert. Il attaque d’abord en masse, mais ensuite choisit, quelques cibles à atteindre avec des logiciels malveillants et d’exfiltration de données.

Les chercheurs de Kaspersky ont déclaré dans un article publié la semaine dernière qu’ils avaient nommé le groupe de pirates (APT) LuminousMoth.

La campagne, qui remonte au moins à octobre dernier et cible d’abord le Myanmar et maintenant principalement les Philippines, est à la fois à grande échelle et très active.

Ce n’est pas rare. Ce qui est atypique dans la campagne LuminousMoth, c’est qu’elle n’est pas seulement voyante, elle est également ciblée avec une « précision presque chirurgicale », ont-ils déclaré.

« Ce n’est pas souvent que nous observons une attaque à grande échelle menée par des acteurs correspondant à ce profil, généralement en raison du fait que ces attaques sont bruyantes, et mettent ainsi l’opération sous-jacente à risque d’être compromise par des produits de sécurité ou des chercheurs. »

-Chercheurs de Kaspersky

Le bruit d’une attaque à haut volume est un signal d’alarme pour les chercheurs. Bien sûr, c’est un inconvénient pour les pirates informatiques, étant donné que cela fait exploser leur couverture. Il semblerait que LuminousMoth se propage en se copiant sur des lecteurs USB amovibles.

« Il est probable que le taux élevé d’infections soit dû à la nature de l’attaque LuminousMoth et à son mécanisme de propagation, car le malware se propage en se copiant sur des lecteurs amovibles connectés au système », selon l’article. Là encore, le taux de réussite plus élevé aux Philippines pourrait se résumer à un autre vecteur d’infection non détecté utilisé uniquement aux Philippines, ou il se pourrait simplement que les attaquants soient plus vivement intéressés à poursuivre des cibles là-bas.

Mustang Panda est de retour

Les pirates de LuminousMoth utilisent un ensemble unique d’outils et de méthodes de propagation de logiciels malveillants, mais leur infrastructure réseau partage des similarités avec un autre groupe de piratage chinois notoire nommé Mustang Panda, alias HoneyMyte, TA416 ou RedDelta.

Il existe également des similitudes dans les tactiques, techniques et procédures (TTP) utilisées par les deux APT : à savoir, le déploiement de Cobalt Strike en tant que charge utile, comme l’a également noté ESET le mois dernier. Pour sa part, Avast a attribué le mois dernier une attaque de la chaîne d’approvisionnement contre le site Web du bureau du président du Myanmar à Mustang Panda, montrant que Mustang Panda se concentrait sur la même région que LuminousMoth.

« La proximité dans le temps et l’occurrence commune au Myanmar des deux campagnes pourraient suggérer que divers TTP de HoneyMyte pourraient avoir été empruntés pour l’activité de LuminousMoth », ont estimé les analystes de Kaspersky.

Ils ont noté que les deux APT partagent également les TTP d’utilisation du chargement latéral de DLL, ainsi que l’utilisation de formulaires de voleurs à la recherche de cookies d’authentification d’utilisateur de Chrome.

LuminousMoth Zoom
Connexion entre les serveurs C2 de HoneyMyte et LuminousMoth. Source : Kaspersky.

Régions ciblées

Luminous Moth s’attaquait d’abord à d’importantes organisations au Myanmar, où les chercheurs ont rencontré une centaine de victimes. La campagne s’est intensifiée aux Philippines, où ils ont trouvé près de 1 400 victimes ciblées.

Les véritables cibles n’en étaient qu’un sous-ensemble. Ils représentaient une sélection d’entités gouvernementales de premier plan dans les deux pays ciblés et à l’étranger : deux d’entre eux étaient le ministère des Transports et des Communications du Myanmar et l’Unité de coordination de l’aide au développement du Département des relations économiques étrangères du pays. Ce sont deux des noms que les chercheurs ont trouvés dans les archives de deux bibliothèques DLL malveillantes.

Des clés USB piégées diffusent un faux logiciel Zoom

LuminousMoth a plusieurs façons de s’introduire.

Tout d’abord, la campagne envoie un e-mail d’hameçonnage ciblé à la victime. L’e-mail contient un lien de téléchargement Dropbox qui récupère une archive RAR. C’est là qu’une paire de DLL malveillantes peut être trouvée, se faisant passer pour un fichier .DOCX. Après cette infection initiale, le deuxième vecteur entre en jeu, les DLL étant chargées par deux exécutables pour se propager sur des périphériques amovibles et télécharger également une copie de Cobalt Strike.

LuminousMoth
La première chaîne d’infection de LuminousMoth. Source : Kaspersky.

Dans certains cas, lors des attaques au Myanmar, l’infection initiale a été suivie du déploiement d’une fausse version signée de la populaire application Zoom. Cette fausse application Zoom était en fait un malware qui permettait aux attaquants d’exfiltrer des fichiers à partir de systèmes compromis. Le certificat valide appartient à Founder Technology, une filiale du groupe fondateur de l’Université de Pékin, située à Shanghai.

certificat logiciel zoom
Certificat valide de la fausse application Zoom. Source : Kaspersky.

Il n’est pas clair si le « volume considérable » des attaques est dû à la réplication des logiciels malveillants via des périphériques amovibles ou s’il est causé par quelque chose d’autre, comme la propagation sur des sites Web malveillants ou via une attaque de la chaîne d’approvisionnement, ont déclaré les chercheurs.

Ce qui est clair : LuminousMoth est une nouvelle campagne venant d’un acteur de langue chinoise qui semble être liée à Mustang Panda/HoneyMyte car elle se propage dans des attaques à grande échelle, mais en réalité ne cible que quelques cibles. Le nouveau venu mérite d’être surveillé, selon les analystes, étant donné qu’il pourrait simplement s’agir de Mustang Panda essayant de nouvelles techniques, essayant d’effacer ses traces en se réoutillant et en proposant de nouveaux implants malveillants inconnus.

« Cela leur permet de masquer tout lien avec leurs anciennes activités et de brouiller leur attribution à des groupes connus », ont conclu les chercheurs de Kaspersky.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire