Un groupe de piratage APT connu sous le nom de « Dragon Breath », « Golden Eye Dog » ou « APT-Q-27 » démontre une nouvelle tendance consistant à utiliser plusieurs variantes complexes de la technique classique de chargement latéral de DLL pour échapper à la détection.
Ces variantes d’attaque commencent par un vecteur initial qui exploite une application propre, le plus souvent Telegram, qui charge une charge utile de deuxième étape, parfois également propre, qui à son tour charge une DLL de chargeur de logiciels malveillants malveillants.
L’appât pour les victimes est un cheval de Troie Telegram, LetsVPN ou des applications WhatsApp pour Android, iOS ou Windows qui ont été soi-disant localisées pour les personnes en Chine. On pense que les applications trojanisées sont promues à l’aide de BlackSEO ou de la publicité malveillante.
Selon les analystes de Sophos qui ont suivi les récentes attaques de l’acteur menaçant, le champ d’application de cette campagne est axé sur les utilisateurs Windows parlant chinois en Chine, au Japon, à Taïwan, à Singapour, à Hong Kong et aux Philippines.
Double chargement latéral de DLL
Le chargement latéral de DLL est une technique exploitée par des attaquants depuis 2010, profitant de la façon non sécurisée dont Windows charge les fichiers DLL (Dynamic Link Library) requis par une application.
L’attaquant place une DLL malveillante portant le même nom que la DLL requise légitime dans le répertoire d’une application. Lorsque l’utilisateur lance l’exécutable, Windows donne la priorité à la DLL malveillante locale par rapport à celle des dossiers système.
La DLL de l’attaquant contient un code malveillant qui se charge à ce stade, donnant à l’attaquant des privilèges ou exécutant des commandes sur l’hôte en exploitant l’application approuvée et signée qui la charge.
Dans cette campagne, les victimes exécutent le programme d’installation des applications mentionnées, qui dépose des composants sur le système et crée un raccourci sur le bureau et une entrée de démarrage du système.
Si la victime tente de lancer le raccourci sur le bureau nouvellement créé, ce qui est la première étape attendue, au lieu de lancer l’application, la commande suivante est exécutée sur le système.
La commande exécute une version renommée de ‘regsvr32.exe’ (‘appR.exe’) pour exécuter une version renommée de ‘scrobj.dll’ (‘appR.dll’) et fournit un fichier DAT (‘appR.dat’) comme contribution à celui-ci. Le DAT contient du code JavaScript à exécuter par la bibliothèque du moteur d’exécution de scripts (‘appR.dll’).
Le code JavaScript lance l’interface utilisateur de l’application Telegram au premier plan tout en installant divers composants de chargement latéral en arrière-plan.
Ensuite, le programme d’installation charge une application de deuxième étape à l’aide d’une dépendance propre (‘libexpat.dll’) pour charger une deuxième application propre comme étape d’attaque intermédiaire.
Dans une variante de l’attaque, l’application propre « XLGame.exe » est renommée « Application.exe », et le chargeur de deuxième étape est également un exécutable propre, signé par Beijing Baidu Netcom Science and Technology Co., Ltd.
Dans une autre variante, le chargeur propre de deuxième étape est « KingdomTwoCrowns.exe », qui n’est pas signé numériquement, et Sophos n’a pas pu déterminer quel avantage il offre en plus d’obscurcir la chaîne d’exécution.
Dans une troisième variante de l’attaque, le chargeur de deuxième étape est l’exécutable propre « d3dim9.exe », signé numériquement par HP Inc.
Cette technique de « double chargement latéral de DLL » permet l’évasion, l’obscurcissement et la persistance, ce qui rend plus difficile pour les défenseurs de s’adapter à des modèles d’attaque spécifiques et de protéger efficacement leurs réseaux.
La charge utile finale
Dans toutes les variantes d’attaque observées, la DLL de charge utile finale est déchiffrée à partir d’un fichier txt (‘templateX.txt’) et exécutée sur le système.
Cette charge utile est une porte dérobée qui prend en charge plusieurs commandes, telles que le redémarrage du système, la modification de la clé de registre, la récupération de fichiers, le vol du contenu du presse-papiers, l’exécution de commandes sur une fenêtre CMD masquée, etc.
La porte dérobée cible également l’extension Chrome du portefeuille de crypto-monnaie MetaMask, visant à voler les actifs numériques des victimes.
En résumé, le chargement latéral de DLL reste une méthode d’attaque efficace pour les pirates et une méthode que Microsoft et les développeurs n’ont pas réussi à résoudre depuis plus d’une décennie.
Lors de la dernière attaque APT-Q-27, les analystes ont observé des variations de chargement latéral de DLL difficiles à suivre ; par conséquent, ils réalisent une chaîne d’infection plus furtive.