Le groupe APT (menace persistante avancée) aligné sur la Chine connu sous le nom de « Bronze Starlight » a été vu ciblant l’industrie du jeu d’argent en Asie du Sud-Est avec des logiciels malveillants signés à l’aide d’un certificat valide utilisé par le fournisseur de VPN Ivacy.
Le principal avantage de l’utilisation d’un certificat valide est de contourner les mesures de sécurité, d’éviter d’éveiller les soupçons avec les alertes système et de se fondre dans les logiciels et le trafic légitimes.
Selon SentinelLabs, qui a analysé la campagne, le certificat appartient à PMG PTE LTD, un fournisseur singapourien du produit VPN « Ivacy VPN ».
Les cyberattaques observées en mars 2023 sont probablement une phase ultérieure de l’« opération ChattyGoblin » identifiée par ESET dans un rapport du quatrième trimestre 2022 au premier trimestre 2023.
Cependant, SentinelLabs affirme qu’il est difficile de s’associer à des clusters spécifiques en raison du partage étendu d’outils entre les acteurs chinois de la menace.
Chargement latéral de DLL
Les attaques commencent par déposer des exécutables .NET (agentupdate_plugins.exe et AdventureQuest.exe) sur le système cible, probablement via des applications de chat trojanisées, qui récupèrent des archives ZIP protégées par mot de passe à partir de compartiments Alibaba.
L’échantillon de malware AdventureQuest.exe a été trouvé pour la première fois par le chercheur en sécurité MalwareHunterteam en mai lorsqu’il a noté que le certificat de signature de code était le même que celui utilisé pour les installateurs officiels d’Ivacy VPN.
Ces archives contiennent des versions de logiciels vulnérables comme Adobe Creative Cloud, Microsoft Edge et McAfee VirusScan, qui sont susceptibles d’être piratés par DLL. Les pirates Bronze Starlight utilisent ces applications vulnérables pour déployer des balises Cobalt Strike sur des systèmes ciblés.
Les DLL malveillantes (libcef.dll, msedge_elf.dll et LockDown.dll) sont regroupées dans les archives aux côtés des exécutables de programme légitimes, et Windows donne la priorité à leur exécution par rapport aux versions plus sûres de la même DLL stockée dans C:\Windows\System32, d’où permettant à un code malveillant de s’exécuter.
SentinelLabs note que les exécutables .NET comportent une restriction de géorepérage qui empêche le logiciel malveillant de s’exécuter aux États-Unis, en Allemagne, en France, en Russie, en Inde, au Canada ou au Royaume-Uni.
Ces pays sont en dehors de la portée cible de cette campagne et sont exclus pour échapper à la détection et à l’analyse. Cependant, en raison d’une erreur dans l’implémentation du geofencing, cela ne fonctionne pas.
Abus d’un certificat valide
Un aspect intrigant des attaques observées est l’utilisation d’un certificat de chant de code appartenant à PMG PTE LTD, la société derrière Ivacy VPN.
En fait, le même certificat est utilisé pour signer le programme d’installation officiel d’Ivacy VPN lié au site Web du fournisseur VPN.
« Il est probable qu’à un moment donné, la clé de signature de PMG PTE LTD ait été volée – une technique familière des acteurs chinois connus de la menace pour permettre la signature de logiciels malveillants », émet l’hypothèse de SentinelLabs.
« Les fournisseurs de VPN sont des cibles critiques car ils permettent aux acteurs de la menace d’accéder potentiellement aux données et aux communications sensibles des utilisateurs. »
Si le certificat a été volé, les chercheurs en sécurité s’inquiètent de ce à quoi les acteurs de la menace ont eu accès chez le fournisseur VPN.
PMG PTE LTD n’a pas répondu à cette divulgation par une déclaration publique, de sorte que les moyens exacts par lesquels les pirates ont eu accès au certificat restent flous.
Entre-temps, DigiCert a révoqué et invalidé le certificat début juin 2023 pour non-respect des directives « Baseline Requirements ».
Breachtrace a contacté Ivacy au sujet de leur certificat de signature de code abusé mais n’a pas reçu de réponse.