Le groupe de piratage parrainé par l’État chinois suivi sous le nom d’APT15 a été observé en train d’utiliser une nouvelle porte dérobée nommée « Graphican » dans une nouvelle campagne entre fin 2022 et début 2023.

APT15, également connu sous le nom de Nickel, Flea, Ke3Chang et Vixen Panda, sont des pirates informatiques chinois ciblant d’importantes organisations publiques et privées dans le monde depuis au moins 2004.

Le groupe a utilisé divers implants de logiciels malveillants et des portes dérobées personnalisées au fil des ans, notamment RoyalCLI et RoyalDNS, Okrum, Ketrum et des logiciels espions Android nommés SilkBean et Moonshine.

Aujourd’hui, l’équipe Threat Hunter de Symantec, qui fait partie de Broadcom, rapporte que la dernière campagne d’APT15 cible les ministères des affaires étrangères des pays d’Amérique centrale et du Sud.

Nouvelle porte dérobée Graphican
Les chercheurs rapportent que la nouvelle porte dérobée Graphican est une évolution d’un ancien logiciel malveillant utilisé par les pirates plutôt qu’un outil créé à partir de zéro.

Il se distingue par l’utilisation de l’API Microsoft Graph et de OneDrive pour obtenir furtivement ses adresses d’infrastructure de commande et de contrôle (C2) sous forme cryptée, ce qui lui confère polyvalence et résistance contre les retraits.

Le fonctionnement de Graphican sur l’appareil infecté comprend les éléments suivants :

  • Désactive l’assistant de première exécution et la page d’accueil d’Internet Explorer 10 à l’aide des clés de registre.
  • Vérifie si le processus ‘iexplore.exe’ est actif.
  • Construit un objet COM global IWebBrowser2 pour l’accès à Internet.
  • S’authentifie auprès de l’API Microsoft Graph pour un jeton d’accès valide et refresh_token.
  • Énumère les fichiers et dossiers enfants dans le dossier OneDrive « Personne » à l’aide de l’API Graph.
  • Déchiffre le nom du premier dossier pour l’utiliser comme serveur C&C.
  • Génère un Bot ID unique à l’aide du nom d’hôte, de l’adresse IP locale, de la version de Windows, de l’identifiant de langue par défaut et du nombre de bits du processus (32/64 bits).
  • Enregistre le bot auprès du serveur C&C en utilisant une chaîne de format spécifique remplie avec les données informatiques de la victime collectées.
  • Vérifie régulièrement le serveur C&C pour de nouvelles commandes à exécuter.

Lors de la connexion au serveur de commande et de contrôle, les acteurs de la menace peuvent envoyer diverses commandes à exécuter sur les appareils infectés, y compris le lancement de programmes et le téléchargement de nouveaux fichiers.

La liste complète des commandes que le C2 peut envoyer pour exécution par Graphican sont :

  • ‘C’ — Crée une ligne de commande interactive contrôlée depuis le serveur C&C
  • ‘U’ — Créer un fichier sur l’ordinateur distant
  • ‘D’ — Télécharger un fichier de l’ordinateur distant vers le serveur C&C
  • ‘N’ — Crée un nouveau processus avec une fenêtre masquée
  • ‘P’ — Crée un nouveau processus PowerShell avec une fenêtre masquée et enregistre les résultats dans un fichier temporaire dans le dossier TEMP, et envoie les résultats au serveur C&C

Les autres outils que les chercheurs de Symantec ont observés dans la dernière campagne d’APT15 sont :

  • EWSTEW – Porte dérobée APT15 personnalisée extrayant les e-mails des serveurs Microsoft Exchange infectés.
  • Mimikatz, Pypykatz, Safetykatz – Outils de vidage d’informations d’identification accessibles au public qui exploitent l’authentification unique Windows pour extraire les secrets de la mémoire.
  • Lazagne – Un outil open-source capable de récupérer les mots de passe de plusieurs applications.
  • Quarks PwDump – Vide différents types d’informations d’identification Windows. Documenté depuis 2013.
  • SharpSecDump – Un port .Net de secretsdump.py d’Impacket, utilisé pour vider les secrets SAM et LSA distants.
  • K8Tools – Un ensemble d’outils comprenant l’élévation des privilèges, le craquage de mot de passe, l’analyse, l’utilisation des vulnérabilités et divers exploits système.
  • EHole – Identification des systèmes vulnérables.
  • Web shells – AntSword, Behinder, China Chopper, Godzilla, donnant aux pirates un accès par porte dérobée aux systèmes piratés.
  • Exploit CVE-2020-1472 – Vulnérabilité d’élévation de privilège affectant le protocole distant Netlogon.

En conclusion, l’activité récente d’APT15 et l’actualisation de sa porte dérobée personnalisée montrent que le groupe de piratage chinois reste une menace pour les organisations du monde entier, améliorant ses outils et travaillant à rendre ses opérations plus furtives.

Le groupe de menaces particulier utilise les e-mails de phishing comme vecteur d’infection initial ; cependant, ils sont également connus pour exploiter les terminaux vulnérables exposés à Internet et utiliser les VPN comme vecteur d’accès initial.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *