Les pirates déploient de nouvelles variantes de logiciels malveillants Linux dans les attaques de cyberespionnage, telles qu’une nouvelle variante PingPull et une porte dérobée précédemment non documentée suivie sous le nom de « Sword2033 ».
PingPull est un RAT (cheval de Troie d’accès à distance) documenté pour la première fois par l’Unité 42 l’été dernier dans des attaques d’espionnage menées par le groupe parrainé par l’État chinois Gallium, également connu sous le nom d’Alloy Taurus. Les attaques visaient des organisations gouvernementales et financières en Australie, en Russie, en Belgique, en Malaisie, au Vietnam et aux Philippines.
L’unité 42 a continué de surveiller ces campagnes d’espionnage et rapporte aujourd’hui que l’acteur menaçant chinois utilise de nouvelles variantes de logiciels malveillants contre des cibles en Afrique du Sud et au Népal.
PingPull sous Linux
La variante Linux de PingPull est un fichier ELF que seuls 3 des 62 fournisseurs d’antivirus signalent actuellement comme malveillant.
L’unité 42 a pu déterminer qu’il s’agissait d’un port du logiciel malveillant Windows connu en remarquant des similitudes dans la structure de communication HTTP, les paramètres POST, la clé AES et les commandes qu’il reçoit du serveur C2 de l’acteur menaçant.
Les commandes que le C2 envoie au logiciel malveillant sont indiquées par un seul caractère majuscule dans le paramètre HTTP, et la charge utile renvoie les résultats au serveur via une requête codée en base64.
Les paramètres et les commandes correspondantes sont :
- A – Obtenir le répertoire courant
- B – Dossier de liste
- C – Lire le fichier texte
- D – Écrire un fichier texte
- E – Supprimer un fichier ou un dossier
- F – Lire le fichier binaire, convertir en hexadécimal
- G – Écrire un fichier binaire, convertir en hexadécimal
- H – Copier un fichier ou un dossier
- I – Renommer un fichier
- J – Créer un répertoire
- K – Fichier d’horodatage avec un horodatage spécifié au format « %04d-%d-%d %d:%d:%d »
- M – Exécuter la commande
L’unité 42 commente que les gestionnaires de commandes utilisés dans PingPull correspondent à ceux observés dans un autre logiciel malveillant nommé « China Chopper », un shell Web largement utilisé dans les attaques contre les serveurs Microsoft Exchange.
Détails de Sword2023
L’unité 42 a également trouvé une nouvelle porte dérobée ELF qui communiquait avec le même serveur de commande et de contrôle (C2) que PingPull.
Il s’agit d’un outil plus simple avec des fonctions plus basiques telles que le téléchargement de fichiers sur le système piraté, l’exfiltration de fichiers et l’exécution d’une commande avec « ; echo \n » ajouté.
La commande echo ajoute des données aléatoires dans le journal d’exécution, éventuellement pour rendre l’analyse plus difficile ou obscurcir son activité.
L’unité 42 a découvert un deuxième échantillon Sword2023 associé à une adresse C2 différente se faisant passer pour l’armée sud-africaine.
Le même échantillon était lié à une adresse VPN Soft Ether, un produit que Gallium est connu pour utiliser dans ses opérations.
La société de cybersécurité précise qu’il ne s’agit pas d’un choix aléatoire, car en février 2023, l’Afrique du Sud a participé à des exercices militaires conjoints avec la Russie et la Chine.
En conclusion, Gallium continue d’affiner son arsenal et élargit sa gamme de cibles en utilisant les nouvelles variantes Linux de PingPull et la porte dérobée Sword2023 nouvellement découverte.
Les organisations doivent adopter une stratégie de sécurité complète pour contrer efficacement cette menace sophistiquée plutôt que de se fier uniquement à des méthodes de détection statiques.