Une série de cyberattaques ciblées qui ont débuté fin juillet 2024, ciblant des dizaines de systèmes utilisés dans des organisations gouvernementales et des sociétés informatiques russes, sont liées à des pirates informatiques chinois des groupes APT31 et APT 27.

Kaspersky, qui a découvert l’activité, a surnommé la campagne « EastWind », signalant qu’elle utilise une version mise à jour de la porte dérobée CloudSorcerer repérée dans une campagne de cyberespionnage similaire de mai 2024, ciblant également des entités gouvernementales russes.

Il convient de noter que l’activité de CloudSorcerer n’est pas liée à la Russie, car Proofpoint a enregistré une attaque visant un groupe de réflexion basé aux États-Unis en mai 2024.

Boîte à outils EastWind
L’infection initiale repose sur des e-mails de phishing contenant des pièces jointes d’archives RAR nommées d’après la cible, qui utilisent le chargement latéral de DLL pour déposer une porte dérobée sur le système à partir de Dropbox tout en ouvrant un document à des fins de tromperie.

La porte dérobée peut naviguer dans le système de fichiers, exécuter des commandes, exfiltrer des données ou introduire des charges utiles supplémentaires sur la machine compromise.

Les observations de Kaspersky révèlent que les attaquants ont utilisé la porte dérobée pour introduire un cheval de Troie nommé « GrewApacha », qui a été associé à APT31.

La variante la plus récente de GrewApacha présente quelques améliorations par rapport à la dernière version analysée de 2023, notamment l’utilisation de deux serveurs de commandes au lieu d’un, stockant leur adresse dans une chaîne encodée en base64 sur les profils GitHub à partir desquels le logiciel malveillant la lit.

Adresse C2 « cachée » dans les profils publics

Un autre malware chargé par la porte dérobée est une version actualisée de Cloud Sorcerer contenant VMProtect pour l’évasion.

Cloud Sorcerer utilise un mécanisme de protection par cryptage conçu pour empêcher son exécution sur des systèmes non ciblés en utilisant un processus de génération de clé unique lié à la machine de la victime.

Lors de l’exécution, un utilitaire (GetKey.exe) génère un numéro unique de quatre octets à partir de l’état actuel du système et le chiffre à l’aide de la fonction Windows CryptProtectData pour dériver un texte chiffré unique lié au système.

Si l’exécution du logiciel malveillant est tentée sur une autre machine, la clé générée sera différente, de sorte que le déchiffrement de la charge utile du Sorcier du Cloud échouera.

Fonction GetKey principale

La nouvelle version de CloudSorcerer utilise également des pages de profil publiques pour obtenir son adresse C2 initiale, mais est maintenant passée de GitHub à l’utilisation de Quora et du réseau de médias sociaux russe LiveJournal à cette fin.

Le troisième implant observé dans les attaques du vent d’Est, introduit à travers les nuages ou creed, est Plug, une porte dérobée inconnue auparavant.

Plug offre une grande polyvalence dans ses communications C2 et la possibilité d’exécuter des commandes pour les opérations sur les fichiers, l’exécution des commandes shell, la capture d’écran, l’enregistrement des touches et la surveillance du presse-papiers.

L’analyse de Kaspersky indique que le code utilisé dans PlugY a déjà été vu dans des attaques du groupe de menaces APT 27.

De plus, une bibliothèque utilisée pour les communications C2 via le protocole UDP ne se trouve que dans DR B Control et Plug, qui sont des outils malveillants largement utilisés par les auteurs de menaces chinois.

Similitudes de code entre le contrôle DR B (à gauche) et la fiche (à droite)

Kaspersky commente que, comme les portes dérobées utilisées dans les attaques de vent d’Est sont notablement différentes, il est difficile de les détecter toutes sur une machine compromise. Certaines choses à surveiller sont:

  • Fichiers DLL de plus de 5 Mo dans le ‘C:\Users\Public » répertoire
  • Non signé ‘msedgeupdate.fichiers dll ‘ dans le système de fichiers
  • Un processus en cours d’exécution nommé ‘ msiexec.exe ‘ pour chaque utilisateur connecté

La firme de cybersécurité russe conclut que l’APT 27 et l’APT 31 travaillent probablement ensemble à East Windsor.

Cette affaire met en évidence l’interaction complexe entre des pays alliés ayant des liens diplomatiques étroits et des objectifs stratégiques communs, mais des opérations de cyberespionnage actives les uns contre les autres.

La collaboration dans les domaines économique, sécuritaire et militaire n’exclut pas que les agences de renseignement opérant dans l’ombre lancent des opérations d’espionnage sophistiquées et ciblées pour collecter des renseignements précieux.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *