La porte dérobée « Victory » repérée dans une campagne APT chinoise

0

Une opération de surveillance en cours a été découverte. Celle-ci utilise un logiciel malveillant d’espionnage jusqu’alors inconnu, la porte dérobée Victory et semble cibler un gouvernement d’Asie du Sud-Est, ont déclaré des chercheurs .

Selon Check Point Research, l’attaque implique des e-mails d’hameçonnage avec des documents Word malveillants pour obtenir un accès initial, ainsi que l’exploitation d’anciennes failles de sécurité connues de Microsoft Office. Mais le plus remarquable, selon les chercheurs, est la nouvelle porte dérobée, qui, selon eux, est en cours de développement par un groupe APT chinois depuis au moins trois ans.

Les documents ont été « envoyés à différents employés d’une entité gouvernementale en Asie du Sud-Est », selon l’analyse de Check Point. « Dans certains cas, les e-mails sont falsifiés pour donner l’impression qu’ils provenaient d’autres entités liées au gouvernement. Les pièces jointes à ces e-mails sont des copies militarisées de documents officiels d’apparence légitime et utilisent la technique du modèle à distance pour extraire l’étape suivante du serveur de l’attaquant.

malware

Les documents malveillants téléchargent un modèle à partir de diverses URL, selon l’analyse, qui sont des fichiers .RTF intégrés à RoyalRoad, également connu sous le nom de générateur d’exploit 8.t Dropper/RTF. RoyalRoad est un outil qui, selon les chercheurs, fait partie de l’arsenal de plusieurs APT chinois, tels que Tick, Tonto Team et TA428 ; il génère des documents RTF militarisés qui exploitent les vulnérabilités de l’éditeur d’équations de Microsoft (CVE-2017-11882, CVE-2018-0798 et CVE-2018-0802).

Le document RTF généré par RoyalRoad contient une charge utile et un shellcode cryptés, selon l’analyse.

« Pour déchiffrer la charge utile du package, l’attaquant utilise l’algorithme RC4 avec la clé 123456, et le fichier DLL résultant est enregistré en tant que 5.t dans le dossier %Temp% », ont déclaré les chercheurs. « Le shellcode est également responsable du mécanisme de persistance – il crée la tâche planifiée nommée Windows Update qui devrait exécuter la fonction exportée StartW à partir de 5.t avec rundll32.exe, une fois par jour. »

Le fichier .DLL rassemble des données sur l’ordinateur de la victime, notamment le nom et la version du système d’exploitation, le nom d’utilisateur, les adresses MAC des adaptateurs réseau et les informations antivirus. Toutes les données sont cryptées puis envoyées au serveur de commande et de contrôle des attaquants via la méthode de requête HTTP GET. Après cela, une chaîne à plusieurs étapes aboutit finalement à l’installation du module de porte dérobée, appelé « Victory ». Il « semble être un malware personnalisé et unique », selon Check Point.

La porte dérobée Victory

Le malware est conçu pour voler des informations et fournir un accès cohérent à la victime. Les chercheurs de Check Point ont déclaré qu’ils pouvaient prendre des captures d’écran, manipuler des fichiers (y compris les créer, les supprimer, les renommer et les lire), recueillir des informations sur les fenêtres de niveau supérieur qui sont ouvertes et éteindre l’ordinateur.

Fait intéressant, le malware semble être lié à des outils développés précédemment.

« En recherchant des fichiers similaires à la porte dérobée finale dans la nature, nous avons rencontré un ensemble de fichiers qui ont été soumis à VirusTotal en 2018 », selon l’analyse. « Les fichiers ont été nommés par l’auteur comme MClient et semblent faire partie d’un projet appelé SharpM en interne, selon leurs chemins PDB. Les horodatages de compilation montrent également un délai similaire entre juillet 2017 et juin 2018, et après examen des fichiers, il s’est avéré qu’il s’agissait d’anciennes versions de test de notre porte dérobée VictoryDll et de sa chaîne de chargeurs. »

L’implémentation spécifique de la fonctionnalité de porte dérobée principale est identique ; et, la méthode de connexion a le même format, selon l’entreprise. De plus, la clé XOR de connexion de MClient et la clé XOR initiale de VictoryDll sont les mêmes.

malware

Cependant, il existe des différences entre les deux en termes d’architecture, de fonctionnalité et de conventions de nommage. Par exemple, MClient dispose d’un keylogger, qui est absent pour Victory. Et, la fonction exportée de Victory s’appelle MainThread, tandis que dans toutes les versions de la variante MClient, la fonction d’exportation s’appelait GetCPUID, selon Check Point.

« Dans l’ensemble, nous pouvons voir qu’au cours de ces trois années, la plupart des fonctionnalités de MClient et d’AutoStartup_DLL ont été préservées et réparties entre plusieurs composants – probablement pour compliquer l’analyse et diminuer les taux de détection à chaque étape », indique le formulaire. « Nous pouvons également supposer qu’il existe d’autres modules basés sur le code de 2018 qui pourraient être installés par l’attaquant dans les étapes ultérieures de l’attaque. »

Attribution

Check Point a attribué la campagne à un groupe APT chinois. L’un des indices est que les serveurs C2 de première étape sont hébergés par deux services cloud différents, situés à Hong Kong et en Malaisie. Ceux-ci ne sont actifs que dans une fenêtre quotidienne limitée, renvoyant les charges utiles uniquement de 01h00 à 08h00 UTC du lundi au vendredi, ce qui correspond au jour ouvrable chinois. De plus, Check Point a déclaré que les serveurs étaient devenus inactifs entre le 1er et le 5 mai, jours fériés en Chine.

En plus de cela, le kit de construction d’exploit RoyalRoad RTF est un outil de choix parmi les groupes APT chinois ; et certaines versions de test de la porte dérobée contenaient une vérification de la connectivité Internet avec www.baidu.com – un site Web chinois très populaire.

« Nous avons dévoilé la dernière activité de ce qui semble être une opération chinoise de longue date qui a réussi à rester indétectable pendant plus de trois ans », a conclu Check Point. « Dans cette campagne, les attaquants ont utilisé l’ensemble d’exploits et de chargeurs Microsoft Office avec des techniques d’anti-analyse et d’anti-débogage pour installer une porte dérobée jusqu’alors inconnue.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire