Un acteur menaçant jusque-là inconnu surnommé « Brume marine immuable » cible des entités militaires et gouvernementales dans la région de la mer de Chine méridionale depuis 2018, sans être détecté pendant tout ce temps.
Les chercheurs de Bitdefender qui ont découvert le groupe de menaces rapportent que ses opérations s’alignent sur les intérêts géopolitiques chinois, en se concentrant sur la collecte de renseignements et l’espionnage.
Comme c’est typique pour les acteurs de la menace parrainés par l’État chinois, « Unfading Sea Haze » démontre des chevauchements opérationnels, de TTP et d’outils avec d’autres groupes d’activités, notamment APT41.
Abus de MSBuild pour les logiciels malveillants sans fichier
Les attaques infaillibles Sea Haze commencent par des e-mails de spear-phishing contenant des archives ZIP malveillantes contenant des fichiers LNK déguisés en documents.
En mars 2024, les derniers leurres utilisés dans ces attaques concernent des sujets politiques américains, tandis que les ZIPs ont été trompeusement nommés pour apparaître comme des programmes d’installation/de mise à jour de Windows Defender.
Ces fichiers LNK contiennent une longue commande PowerShell obscurcie qui vérifiera la présence d’un exécutable ESET, ekrn.exe, et s’il existe, arrête l’attaque.
Si l’exécutable n’est pas trouvé, le script PowerShell effectuera une astuce intéressante pour lancer des logiciels malveillants sans fichier directement en mémoire à l’aide du msbuild légitime de Microsoft.compilateur de ligne de commande exe.
« Dans cette attaque, les criminels démarrent un nouveau processus MSBuild avec une torsion: ils spécifient un répertoire de travail situé sur un serveur SMB distant (comme \154.90.34.83\exchange\info dans l’exemple ci-dessus) », explique Bitdefender.
« En définissant le répertoire de travail sur un emplacement distant, MSBuild recherchera un fichier de projet sur ce serveur distant. Si un fichier de projet est trouvé, MSBuild exécutera le code qu’il contient entièrement en mémoire, ne laissant aucune trace sur la machine de la victime. »
Ce code exécuté par MSBuild est un programme de porte dérobée nommé « SerialPktdoor », qui donne aux attaquants le contrôle à distance du système compromis.
L’attaque utilise également des tâches planifiées qui exécutent des fichiers inoffensifs pour charger latéralement des DLL malveillantes et utilisent la manipulation de compte d’administrateur local pour maintenir la persistance.
Plus précisément, les pirates réinitialisent le mot de passe du compte administrateur local, qui est désactivé par défaut dans Windows, et l’activent. Le compte est ensuite à nouveau masqué de l’écran de connexion via les modifications du registre.
Cela fournit aux auteurs de menaces un compte administrateur caché qui peut être utilisé pour poursuivre leurs attaques.
Bitdefender met en évidence la stratégie atypique consistant à utiliser des outils commerciaux de Surveillance et de Gestion à distance (RMM), comme le RMM itarien, dans la chaîne d’attaque pour prendre pied sur le réseau compromis.
L’arsenal inaltérable de Sea Haze
Une fois l’accès établi, Unfading Sea Haze utilise un enregistreur de frappe personnalisé nommé « xkeylog » pour capturer les frappes au clavier de la victime, un voleur d’informations ciblant les données stockées dans Chrome, Firefox ou Edge, et divers scripts PowerShell qui extraient des informations de la base de données du navigateur.
À partir de 2023, les pirates se sont tournés vers des outils plus furtifs comme l’abus de msbuild.exe pour charger des charges utiles C# à partir de partages SMB distants, ainsi que des variantes du malware Gh0stRAT.
Bitdefender a vu le déploiement de:
- SilentGh0st – La variante la plus ancienne offrant des fonctionnalités étendues grâce à un riche ensemble de commandes et de modules
- InsidiousGh0st-Évolution basée sur Go de SilentGh0st qui comprend également des améliorations TCP proxy, SOCKS5 et PowerShell.
- TranslucentGh0st, EtherealGh0st et FluffyGh0st-Les variantes les plus récentes avec chargement dynamique des plugins et encombrement réduit pour un fonctionnement évasif.
Lors d’attaques antérieures, le pirate informatique a également utilisé Ps2dllLoader, un outil qui charge le code.NET ou PowerShell en mémoire, et « SharpJSHandler », un shell Web qui écoute les requêtes HTTP et exécute du code JavaScript codé.
Fait intéressant, un outil personnalisé vérifie les périphériques portables USB et Windows (WPD) nouvellement branchés toutes les dix secondes et envoie les détails de l’appareil et des fichiers spécifiques aux attaquants.
Pour exfiltrer les données des systèmes piratés, Unfading Sea Haze utilise un outil personnalisé nommé « DustyExfilTool » qui effectue une extraction sécurisée des données via TLS sur TCP.
Des attaques plus récentes montrent que les auteurs de la menace sont passés à un utilitaire curl et au protocole FTP pour l’exfiltration des données, utilisant désormais également des informations d’identification générées dynamiquement qui sont fréquemment modifiées.
Sea Haze inaltérable fait preuve de furtivité, de persistance et d’adaptabilité, tirant parti des attaques sans fichier, des méthodes d’évasion avancées et de la conception modulaire des logiciels malveillants.
Pour arrêter ces attaques, les organisations doivent adopter une stratégie de sécurité à multiples facettes impliquant la gestion des correctifs, l’adoption de l’authentification multifacteur, la segmentation du réseau, la surveillance du trafic et le déploiement de produits de détection et de réponse de pointe.