Un groupe de menaces avancées lié à la Chine nommé Weaver Ant a passé plus de quatre ans dans le réseau d’un fournisseur de services de télécommunications, cachant le trafic et l’infrastructure à l’aide de routeurs CPE Zyxel compromis.
Les chercheurs enquêtant sur l’intrusion ont découvert plusieurs variantes de la porte dérobée China Chopper et un shell Web personnalisé précédemment non documenté appelé « INMemory » qui exécute des charges utiles dans la mémoire de l’hôte.
L’auteur de la menace a ciblé un important fournisseur de télécommunications asiatique et s’est avéré résilient aux multiples tentatives d’éradication, selon les chercheurs de la société de cybertechnologie et de services Sygnia.
« Tisser” un réseau dans le réseau
Les intrusions de fourmis Weaver ont tiré parti d’un réseau de boîtes de relais opérationnelles (ORB) composé principalement de routeurs CPE Zyxel pour proxy le trafic et dissimuler l’infrastructure.
L’auteur de la menace a pris pied sur le réseau en utilisant une variante cryptée AES du shell Web China Chopper, qui permettait le contrôle à distance des serveurs tout en contournant les restrictions du pare-feu.
Au fur et à mesure que l’opération mûrissait, Weaver Ant a introduit un shell Web plus avancé et personnalisé connu sous le nom d’INMemory, qui exploite une DLL (eval.dll) pour une exécution de code furtive « juste à temps ».’
Les méthodes d’exfiltration de données utilisées dans les attaques ont également été sélectionnées pour déclencher le moins d’alarme possible, y compris la capture passive du trafic réseau via la mise en miroir des ports, selon les chercheurs de Sygnia dans un rapport publié aujourd’hui.
Au lieu de déployer des coquilles Web isolément, la fourmi Tisserande les a reliées entre elles selon une technique appelée « tunnel de coquille Web », précédemment mise au point par l’acteur menaçant motivé financièrement « Elephant Beetle ».’
Cette technique achemine le trafic d’un serveur à l’autre sur des segments de réseau distincts, créant essentiellement un réseau de commande et de contrôle (C2) secret à l’intérieur de l’infrastructure de la victime.
Chaque shell agit comme un proxy, transmettant des charges utiles imbriquées et cryptées à d’autres pour une exécution échelonnée plus profondément dans le réseau.
“Le tunneling de shell Web est une méthode qui exploite plusieurs shells Web en tant que « serveurs proxy »pour rediriger le trafic HTTP entrant vers un autre shell Web sur un hôte différent pour l’exécution de la charge utile”, explique Sygnia dans le rapport technique.
Pour cette raison, Weaver Ant pourrait » opérer sur des serveurs au sein de différents segments de réseau. »Il s’agissait principalement de serveurs internes sans connexion Internet et accessibles via des serveurs accessibles sur le Web qui servaient de passerelles opérationnelles.
Les résultats de Sygnia montrent que la fourmi Tisserande se déplaçait latéralement en utilisant des partages SMB et des comptes à privilèges élevés qui avaient le même mot de passe pendant des années, souvent authentifiés via des hachages NTLM.
Les données qu’ils ont collectées sur plus de quatre ans d’accès au réseau de la victime comprennent des fichiers de configuration, des journaux d’accès et des données d’identification pour cartographier l’environnement et cibler des systèmes précieux.
Ils ont également désactivé les mécanismes de journalisation tels que les correctifs ETW (Suivi des événements pour Windows) et les contournements AMSI (écrasant la fonction ‘AmsiScanBuffer’ dans ‘amsi.dll ‘ module’ pour garder un encombrement réduit et ne pas être détecté plus longtemps.
Weaver Ant s’avère être un acteur qualifié parrainé par l’État capable d’obtenir un accès à long terme sur le réseau des victimes pour des opérations de cyberespionnage.
Sygnia indique que son attribution est basée sur l’utilisation de modèles de routeurs Zyxel populaires dans des régions géographiques spécifiques, l’utilisation de portes dérobées précédemment liées à des groupes de menaces chinois et le fonctionnement de Weaver Ant pendant les heures ouvrables GMT +8.
L’auteur de la menace semble se concentrer davantage sur l’intelligence du réseau, la collecte des informations d’identification et l’accès continu à l’infrastructure des télécommunications plutôt que sur le vol des données des utilisateurs ou des dossiers financiers, ce qui est conforme aux objectifs d’espionnage parrainés par l’État.
Pour vous défendre contre cette menace avancée, il est recommandé d’appliquer des contrôles de trafic réseau internes, d’activer la journalisation IIS et PowerShell complète, d’appliquer les principes de moindre privilège et de faire pivoter fréquemment les informations d’identification des utilisateurs.
De plus, la réutilisation des shells Web connus donne aux défenseurs la possibilité de détecter rapidement les activités malveillantes à l’aide d’outils de détection statiques et de signatures connues.