Un nouveau groupe de piratage APT surnommé Lancefly utilise un malware de porte dérobée personnalisé « Merdoor » pour cibler les organisations gouvernementales, aéronautiques et de télécommunication en Asie du Sud et du Sud-Est.

Symantec Threat Labs a révélé aujourd’hui que Lancefly déployait la porte dérobée furtive Merdoor dans des attaques hautement ciblées depuis 2018 pour établir la persistance, exécuter des commandes et effectuer un enregistrement de frappe sur les réseaux d’entreprise.

« Le malware personnalisé de Lancefly, que nous avons surnommé Merdoor, est une puissante porte dérobée qui semble exister depuis 2018 », révèle le nouveau rapport de Symantec.

« Les chercheurs de Symantec ont observé qu’il était utilisé dans certaines activités en 2020 et 2021, ainsi que dans cette campagne plus récente, qui s’est poursuivie jusqu’au premier trimestre 2023. On pense que la motivation derrière ces deux campagnes est la collecte de renseignements. »

On pense que Lancefly se concentre sur le cyber-espionnage, visant à collecter des renseignements auprès des réseaux de ses victimes sur de longues périodes.

Une large chaîne d’attaque
Symantec n’a pas découvert le vecteur d’infection initial utilisé par Lancefly. Cependant, il a trouvé des preuves que le groupe de menaces utilise des e-mails de phishing, le forçage brutal des informations d’identification SSH et l’exploitation des vulnérabilités des serveurs publics pour un accès non autorisé au fil des ans.

Une fois que les attaquants ont établi une présence sur le système de la cible, ils injectent la porte dérobée Merdoor via le chargement latéral de DLL dans « perfhost.exe » ou « svchost.exe », deux processus Windows légitimes qui aident le logiciel malveillant à échapper à la détection.

Merdoor aide Lancefly à maintenir son accès et son emprise sur le système de la victime, en s’installant comme un service qui persiste entre les redémarrages.

Merdoor établit ensuite des communications avec le serveur C2 en utilisant l’un des nombreux protocoles de communication pris en charge (HTTP, HTTPS, DNS, UDP et TCP) et attend les instructions.

Outre la prise en charge de l’échange de données avec le serveur C2, Merdoor peut également accepter des commandes en écoutant les ports locaux ; cependant, les analystes de Symantec n’ont fourni aucun exemple spécifique.

La porte dérobée enregistre également les frappes de l’utilisateur pour capturer des informations potentiellement précieuses telles que les noms d’utilisateur, les mots de passe ou d’autres secrets.

Lancefly a également été observé en train d’utiliser la fonction « Atexec » d’Impacket pour exécuter immédiatement une tâche planifiée sur une machine distante via SMB. On pense que les acteurs de la menace utilisent cette fonctionnalité pour se propager latéralement à d’autres appareils sur le réseau ou supprimer les fichiers de sortie créés à partir d’autres commandes.

Les attaquants tentent de voler les informations d’identification en vidant la mémoire du processus LSASS ou en volant les ruches de registre SAM et SYSTEM.

Enfin, Lancefly crypte les fichiers volés à l’aide d’une version masquée de l’outil d’archivage WinRAR, puis exfiltre les données, très probablement à l’aide de Merdoor.

Rootkit ZXShell
L’utilisation d’une version plus récente, plus légère et plus riche en fonctionnalités du rootkit ZXShell a également été observée dans les attaques Lancefly.

Le chargeur du rootkit, « FormDII.dll », exporte des fonctions qui peuvent être utilisées pour déposer des charges utiles correspondant à l’architecture système de l’hôte, lire et exécuter du shellcode à partir d’un fichier, tuer des processus, etc.

Le rootkit utilise également un utilitaire d’installation et de mise à jour qui partage un code commun avec le chargeur Merdoor, indiquant que Lancefly utilise une base de code partagée pour ses outils.

La fonctionnalité d’installation de ZXShell prend en charge la création, le piratage et le lancement de services, la modification du registre et la compression d’une copie de son propre exécutable pour l’évasion et la résilience.

Liens vers la Chine
Le rootkit ZXShell connecte vaguement Lancefly à d’autres groupes APT chinois qui ont utilisé l’outil dans des attaques, notamment APT17 et APT41.

Cependant, le lien est faible car le code source du rootkit est accessible au public depuis plusieurs années.

Le nom « formdll.dll » de Lancefly pour le chargeur de rootkit a déjà été signalé dans une campagne d’APT27, alias « Budworm ».

Cependant, il n’est pas clair s’il s’agit d’un choix délibéré pour égarer les analystes et rendre l’attribution plus difficile.

Un élément qui renforce encore l’hypothèse d’origine chinoise de Lancefly est l’utilisation observée des RAT PlugX et ShadowPad (chevaux de Troie d’accès à distance), qui sont partagés entre plusieurs groupes APT chinois.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *