Le groupe de piratage parrainé par l’État chinois Salt Typhoon a été observé en train d’utiliser une nouvelle porte dérobée « Araignée fantôme » dans des attaques contre des fournisseurs de services de télécommunication.

La porte dérobée a été découverte par Trend Micro, qui surveille les attaques de Salt Typhoon contre les infrastructures critiques et les organisations gouvernementales du monde entier.

Avec GhostSpider, Trend Micro a découvert que le groupe de menaces utilise également une porte dérobée Linux précédemment documentée nommée « Masol RAT », un rootkit nommé « Demodex » et une porte dérobée modulaire partagée entre des groupes APT chinois nommés « SnappyBee ».’

Diagramme d’attribution

Campagnes mondiales de Salt Typhoon
Salt Typhoon (alias « Earth Estries », « GhostEmperor » ou « UNC2286 ») est un groupe de piratage sophistiqué actif depuis au moins 2019 et qui se concentre généralement sur la violation des entités gouvernementales et des entreprises de télécommunications.

Récemment, les autorités américaines ont confirmé que Salt Typhoon était à l’origine de plusieurs violations réussies des fournisseurs de services de télécommunication aux États-Unis, notamment Verizon, AT&T, Lumen Technologies et T-Mobile.

Il a été admis plus tard que Salt Typhoon avait également réussi à exploiter les communications privées de certains représentants du gouvernement américain et à voler des informations relatives aux demandes d’écoute électronique autorisées par les tribunaux.

Plus tôt dans la journée, le Washington Post a rapporté que les autorités américaines avaient informé 150 victimes, principalement dans la région de Washington, du fait que Salt Typhoon avait violé la confidentialité de leurs communications.

Selon Trend Micro, Salt Typhoon a attaqué les secteurs des télécommunications, des entités gouvernementales, de la technologie, du conseil, des produits chimiques et des transports aux États-Unis, en Asie-Pacifique, au Moyen-Orient, en Afrique du Sud et dans d’autres régions.

Les chercheurs en sécurité ont confirmé au moins vingt cas de typhon de sel compromettant avec succès des organisations critiques, y compris, dans certains cas, leurs fournisseurs.

Deux campagnes mises en évidence dans le rapport sont « Alpha », qui ciblait le gouvernement taïwanais et les producteurs de produits chimiques utilisant Demodex et SnappyBee, et « Beta », un espionnage à long terme contre les télécommunications et les réseaux gouvernementaux d’Asie du Sud-Est, utilisant GhostSpider et Demodex.

Aperçu de la campagne « Alpha »

L’accès initial est obtenu grâce à l’exploitation de terminaux vulnérables destinés au public, en utilisant des exploits pour les failles suivantes:

  • CVE-2023-46805, CVE-2024-21887 (VPN sécurisé d’Ivanti Connect)est un service de VPN sécurisé.
  • CVE-2023-48788 (Fortinet Client fortifié EMS)
  • CVE-2022-3236 (Pare-feu Sophos)
  • CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021 – 27065 (Serveur mandataire Microsoft Exchange)est un serveur mandataire de Microsoft Exchange.

Salt Typhoon utilise les outils LOLbin pour la collecte de renseignements et le mouvement latéral du réseau dans la phase post-compromission.

Aperçu de la campagne « bêta »

Détails de l’Araignée Fantôme
Ghost Spider est une porte dérobée modulaire conçue pour les opérations d’espionnage à long terme nécessitant des niveaux élevés de furtivité, obtenus grâce au cryptage et résidant uniquement en mémoire.

Il est chargé sur le système cible à l’aide du détournement de DLL et enregistré en tant que service via le regsvr32 légitime.l’outil exe, tandis qu’un module secondaire, le chargeur de balises, charge les charges utiles cryptées directement en mémoire.

Ghost Spider exécute les commandes reçues du serveur de commande et de contrôle (C2), dissimulées dans des en-têtes HTTP ou des cookies pour se fondre dans le trafic légitime.

La porte dérobée prend en charge les commandes suivantes:

  1. Upload: Charge un module malveillant en mémoire pour l’exécution de tâches spécifiques contrôlées par l’attaquant.
  2. Créer: Active le module chargé en initialisant les ressources nécessaires à son fonctionnement.
  3. Normal: Exécute la fonction principale du module chargé, telle que l’exfiltration de données ou la manipulation du système.
  4. Fermer: Supprime le module actif de la mémoire pour minimiser les traces et libérer des ressources système.
  5. Mise à jour: Ajuste le comportement du malware, comme les intervalles de communication, pour rester furtif et efficace.
  6. Pulsation: Maintient une communication périodique avec le serveur C & C pour confirmer que le système est toujours accessible.

La structure de ces commandes confère à la porte dérobée une polyvalence et permet à Salt Typhoon d’ajuster son attaque au besoin en fonction du réseau et des défenses de la victime.

Chaîne d’infection d’araignée fantôme

Autres outils utilisés par Salt Typhoon
Outre GhostSpider, Salt Typhoon s’appuie sur un ensemble d’outils propriétaires et partagés entre d’autres acteurs de la menace chinois qui leur permettent de mener des opérations d’espionnage complexes en plusieurs étapes allant des appareils périphériques aux environnements cloud.

  1. SNAPPYBEE: Porte dérobée modulaire (également appelée RAT Deed) utilisée pour l’accès à long terme et l’espionnage. Il prend en charge des fonctionnalités telles que l’exfiltration de données, la surveillance du système et l’exécution de commandes d’attaquant.
  2. MASOL RAT: Porte dérobée multiplateforme initialement identifiée ciblant les gouvernements d’Asie du Sud-Est. Il se concentre sur les serveurs Linux, permettant l’accès à distance et l’exécution de commandes.
  3. DEMODEX: Rootkit utilisé pour maintenir la persistance sur les systèmes compromis. Il exploite des techniques d’anti-analyse et garantit que l’attaquant reste non détecté pendant de longues périodes.
  4. SparrowDoor: Porte dérobée offrant des capacités d’accès à distance, utilisée pour les mouvements latéraux et l’établissement de la communication C&C.
  5. CrowDoor: Porte dérobée utilisée pour l’espionnage, ciblant en particulier les entités gouvernementales et de télécommunications, axée sur la furtivité et l’exfiltration de données.
  6. ShadowPad: Malware partagé entre des groupes APT chinois, utilisé pour l’espionnage et le contrôle du système. Il agit comme une plate-forme modulaire pour déployer divers plugins malveillants.
  7. NeoReGeorg: Outil de tunneling utilisé pour créer des canaux de communication secrets, permettant aux attaquants de contourner les défenses du réseau et de contrôler les systèmes compromis.
  8. frpc: Outil de proxy inverse open source utilisé pour créer des connexions sécurisées aux serveurs C & C, permettant l’exfiltration de données et l’exécution de commandes à distance.
  9. Cobalt Strike: Outil de test d’intrusion disponible dans le commerce coopté par des attaquants pour créer des balises de mouvement latéral, d’élévation de privilèges et de contrôle à distance.

Dans l’ensemble, l’arsenal de Salt Typhoon est vaste, y compris des outils largement utilisés qui peuvent compliquer l’attribution lorsque les chercheurs ont une visibilité limitée.

Trend Micro conclut en qualifiant Salt Typhoon de l’un des groupes d’APT chinois les plus agressifs, exhortant les organisations à rester vigilantes et à appliquer des défenses de cybersécurité multicouches.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *