Le groupe DoubleGun crée des botnets avec des services de cloud

Une opération du groupe de cybercriminels basé en Chine connu sous le nom de DoubleGun a été interrompue. Le groupe avait amassé des centaines de milliers de bots contrôlés via des services de cloud public, notamment Alibaba et Baidu Tieba.

Des chercheurs de NetLab 360, dans une publication récente, ont déclaré avoir remarqué une activité DNS dans leur télémétrie qui pointait vers un domaine suspect (pro.csocools[.]com) contrôlant des quantités massives d’appareils Windows infectés. L’analyse de l’infrastructure de commande et contrôle (C2) de l’opération et du logiciel malveillant utilisé pour créer le réseau de zombies a montré que cela pouvait être attribué à un groupe connu sous le nom de DoubleGun (ou ShuangQiang).

“Dans le passé, DoubleGun a été exposé par plusieurs fournisseurs de sécurité, mais il a repris vie et est revenu avec de nouvelles méthodes et une grande force”, ont écrit les chercheurs de NetLab 360.

botnet ddg

La dernière campagne de DoubleGun visait a propagé des logiciels malveillants via des portails de jeux pirates, ont-ils ajouté. Pendant ce temps, le groupe de pirates a utilisé le stockage Cloud d’Alibaba et la plus grande communauté en ligne de Chine, Baidu Tieba, pour héberger les fichiers de configuration. Des adresses URL hébergées par Tencent Weiyun ont été utilisées pour gérer l’activité des hôtes infectés, selon les chercheurs.

“La campagne de DoubleGun persuade les utilisateurs qui jouent à des jeux clandestins d’installer un logiciel de lancement de jeu contenant du code malveillant”, selon l’analyse. “En cliquant sur le lien de téléchargement, vous accédez à la page d’accueil d’un serveur privé où les utilisateurs sont censés pouvoir télécharger un correctif de lancement de jeu. Lorsque l’utilisateur installe et lance le «correctif», le code malveillant accède au serveur d’informations de configuration, puis télécharge et charge dynamiquement la dernière version du programme malveillant nommé cs.dll à partir de Baidu Tieba. »

Sous le capot de l’attaque du groupe DoubleGun

Le fichier cs.dll est caché dans les fichiers images hébergés sur Baidu Tieba. Chaque image contient des données d’image distinctes et des données de code malveillant. La chaîne de clé dans cs.dll utilise également une méthode de cryptage DES déformée et personnalisée, qui est très similaire aux échantillons DoubleGun que les chercheurs ont capturés auparavant, ont-ils déclaré.

“Cs.dll met en place des contre-mesures simples pour les machines virtuelles et les logiciels antivirus, et utilisera le service de statistiques Baidu pour envoyer les informations du bot [au C2]”, selon l’analyse. «[Il utilise] l’API système pour créer l’ID de bot de l’hôte et l’écrire dans le registre« SOFTWARE\PCID ».»

Une fois l’ID du bot établi, le groupe DoubleGun a utilisé des champs standard dans l’interface de statistiques Baidu pour signaler des informations sensibles sur l’hôte.

“Parce que le service statistique Baidu est utilisé par un grand nombre de sites Web, il est difficile de le distinguer, ce qui rend les choses plus difficile pour les fournisseurs de sécurité de voir et d’agir”, ont expliqué les chercheurs. “L’interface donne à l’auteur du bot la possibilité de télécharger des scripts de statistiques this.b.v, des cookies utilisateur, un ID de bot et d’autres informations statistiques afin que l’auteur puisse facilement gérer et évaluer les utilisateurs infectés.”

Un pilote de troisième étape est ensuite déployé, il récupère des informations de configuration supplémentaires, également masquées par un chiffrement DES déformé.

“Après le déchiffrement, vous pouvez voir que les informations de configuration utilisent un format personnalisé”, ont déclaré les chercheurs. «Deux images Baidu forment un groupe et les données valides sont interceptées et assemblées dans un fichier valide. Toutes les informations de configuration renvoyées par les échantillons de pilotes contiennent une adresse Tencent Weiyun. Cela ressemble à une stratégie pour générer dynamiquement des adresses de serveur de fichiers de configuration. Nous supposons que cela peut être une fonction au stade de développement, donc l’échantillon de code ne contient pas encore le code correspondant. »

doublegun

Une fois le logiciel malveillant installé, les opérateurs ont pu pirater les processus système et télécharger les programmes malveillants.

“Le fichier DLL obtient les informations relatives au serveur de configuration en appelant le pilote”, selon les chercheurs. “Selon les informations de configuration téléchargées, il se repose sur Baidu Tieba pour télécharger d’autres codes malveillants pour effectuer la prochaine étape des activités malveillantes.”

Tous les fournisseurs de services connexes ont pris des mesures contre les abus selon NetLab 360, contribuant ainsi à stopper la campagne.

“En se basant sur les renseignements des menaces massives, la plateforme de sécurité anti-économie souterraine de Baidu avait pris des mesures de coopération pour estimer l’infection du botnet, envoyer des avertissements aux utilisateurs infectés et finalement bloquer tous les téléchargements de logiciels malveillants”, selon un communiqué de presse de Baidu. «Au cours de cette action conjointe, nous avons mieux compris les moyens techniques, la logique et les règles du groupe DoubleGun, en partageant, en analysant et en répondant aux informations sur les menaces associées.

Si cet article vous a plu, jetez un œil à notre article précédent.