TA416 utilise une nouvelle variante du malware PlugX

Le groupe APT TA416 est de retour après un mois d’inactivité, le groupe a été repéré en train de lancer des attaques d’hameçonnage ciblé avec une variante en Golang inédite de son chargeur de logiciels malveillants PlugX.

TA416, également connu sous le nom de «Mustang Panda» et de «RedDelta», a été repéré lors de récentes campagnes visant des entités associées aux relations diplomatiques entre le Vatican et le Parti communiste chinois, ainsi que des entités au Myanmar (toutes ces campagnes ont déjà été signalées). Le groupe a également été aperçu récemment en train de cibler des organisations menant des opérations diplomatiques en Afrique.

Dans une analyse plus approfondie de ces attaques, les chercheurs ont découvert que le groupe avait mis à jour son ensemble d’outils – en particulier, en donnant à sa variante du malware PlugX un coup de jeune. L’outil d’accès à distance PlugX (RAT) a déjà été utilisé dans des attaques visant des institutions gouvernementales et permet aux utilisateurs distants de dérober des données ou de prendre le contrôle des systèmes affectés sans autorisation. Il peut copier, déplacer, renommer, exécuter et supprimer des fichiers; enregistrer les frappes de clavier; étudier le système infecté et plus encore.

« Alors que ce groupe continue d’être publiquement rapporté par les chercheurs en sécurité, ils illustrent une persistance dans la modification de leur ensemble d’outils pour contrecarrer l’analyse et échapper à la détection », ont déclaré des chercheurs de Proofpoint, dans une analyse. «Bien que les modifications de base de leurs charges utiles n’augmentent pas considérablement la difficulté d’attribution des campagnes de TA416, elles rendent la détection et l’exécution automatisées des composants malveillants indépendamment de la chaîne d’infection plus difficiles pour les chercheurs.»

Renouvellement des attaques de TA416

Après près d’un mois d’inactivité (suite à des recherches antérieures sur les menaces) de TA416, les chercheurs ont observé des «signes limités» de reprise de l’activité d’hameçonnage du 16 septembre au 10 octobre. Il faut noter que cette période d’inactivité incluait la fête nationale chinoise et une période de vacances non officielle («Golden Week»), ont déclaré les chercheurs.

Ces tentatives de hameçonnage plus récentes incluaient une utilisation (continue) de leurres d’ingénierie sociale faisant allusion à l’accord provisoire récemment renouvelé entre le Saint-Siège du Vatican et le Parti communiste chinois (PCC). Des chercheurs de Recorded Future ont précédemment découvert cette campagne et ont déclaré qu’elle avait eu lieu lors du renouvellement de septembre 2020 de l’accord provisoire historique entre la Chine et le Vatican. Les chercheurs de Proofpoint ont déclaré avoir également observé le groupe menaçant exploiter un en-tête de courrier électronique usurpé dans des messages d’hameçonnage ciblé pendant cette période. Ces e-mails semblent imiter les journalistes de l’Union of Catholic Asia News.

«Cette confluence de contenu thématique sur l’ingénierie sociale suggère une focalisation continue sur les questions relatives à l’évolution des relations entre l’Église catholique et le PCC», ont déclaré des chercheurs.

Bien que certaines de ces campagnes aient déjà été signalées, une enquête plus approfondie sur les attaques a révélé une toute nouvelle variante du chargeur de logiciels malveillants PlugX de TA416.

Le malware PlugX

Après une enquête plus approfondie, les chercheurs ont identifié deux archives RAR qui servent de droppers pour PlugX.

Les chercheurs ont déclaré que le vecteur de livraison initial de ces archives RAR n’a pas pu être identifié, « cependant, historiquement, TA416 a été observé incluant des URL Google Drive et Dropbox dans des e-mails d’hameçonnage qui fournissent des archives contenant PlugX et des composants associés », ont-ils déclaré.

PlugX TA416

L’un de ces fichiers s’est avéré être une archive RAR auto-extractible. Une fois l’archive RAR extraite, quatre fichiers sont installés sur l’hôte et l’exécutable portable Adobelm.exe est exécuté.

Adobelm.exe est un exécutable Adobe légitime utilisé pour le chargement latéral de la bibliothèque de liens dynamiques (DLL) hex.dll. Il appelle une fonction d’exportation de hex.dll, nommée CEFProcessForkHandlerEx.

«Historiquement, les campagnes TA416 ont utilisé le nom de fichier hex.dll et le même nom d’exportation d’exécutable portable pour réaliser le chargement latéral de DLL pour un DLL exécutable portable de Microsoft Windows», ont déclaré les chercheurs. «Ces fichiers ont servi de chargeurs et de décrypteurs de charges utiles de logiciels malveillants PlugX chiffrés.»

Ce chargeur de logiciels malveillants a été identifié comme un binaire Golang. Les chercheurs ont déclaré qu’ils n’avaient jamais observé ce type de fichier utilisé par TA416. Go est un langage de programmation open source.

«Les deux archives RAR identifiées se sont avérées déposer le même fichier de malware PlugX crypté et les mêmes échantillons de chargeur Golang», ont-ils déclaré.

Malgré le changement de type de fichier du chargeur PlugX, la fonctionnalité reste en grande partie la même, ont déclaré les chercheurs.

Le fichier lit, charge, déchiffre et exécute la charge utile du malware PlugX. Le malware PlugX appelle ensuite l’IP du serveur de commande et de contrôle (C2), 45.248.87[.]162. Les chercheurs ont déclaré que l’activité continue de TA416 démontrait un adversaire persistant apportant des changements continus aux ensembles d’outils documentés.

«L’introduction d’un chargeur Golang PlugX parallèlement aux efforts de chiffrement continus pour les charges utiles PlugX suggèrent que le groupe peut être conscient d’une détection accrue de ses outils et démontre une adaptation en réponse aux publications concernant leurs campagnes», selon Proofpoint. «Ces ajustements d’outils combinés à la révision récurrente de l’infrastructure de commande et de contrôle suggèrent que TA416 persistera dans son ciblage des organisations diplomatiques et religieuses.»

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x