Un groupe de piratage APT chinois connu sous le nom de « Evasive Panda » est lié à une mystérieuse attaque qui a distribué le malware MsgBot dans le cadre d’une mise à jour automatique de l’application de messagerie Tencent QQ.
Evasive Panda est un groupe de cyberespionnage actif depuis au moins 2012 qui ciblait auparavant des organisations et des individus en Chine continentale, à Hong Kong, à Macao, au Nigéria et dans divers pays d’Asie du Sud-Est et de l’Est.
La dernière campagne de l’acteur menaçant a été découverte par des chercheurs en sécurité d’ESET en janvier 2022, qui rapportent avoir vu des signes que l’opération a commencé en 2020.
La plupart des victimes de la campagne sont membres d’une ONG internationale (organisation non gouvernementale) et se trouvent dans les provinces de Gansu, Guangdong et Jiangsu, indiquant un ciblage plutôt spécifique et ciblé.
Chaîne d’approvisionnement ou AITM ?
ESET rapporte que la charge utile malveillante du logiciel malveillant MsgBot a été transmise aux victimes sous la forme d’une mise à jour du logiciel Tencent QQ à partir d’URL et d’adresses IP légitimes appartenant au développeur du logiciel.
Cela signifie qu’il peut y avoir deux scénarios possibles pour l’attaque – une attaque de la chaîne d’approvisionnement ou une attaque de l’adversaire au milieu (AITM).
Dans le premier scénario, Evasive Panda devrait pénétrer dans les serveurs de distribution de mises à jour de Tencent QQ pour trojaniser le fichier « QQUrlMgr.exe » livré aux victimes sous le couvert d’une mise à jour logicielle légitime.
ESET a remarqué que les versions trojanisées du fichier de mise à jour récupèrent le logiciel malveillant à partir d’une URL codée en dur (« update.browser.qq[.]com ») et utilisent une clé de déchiffrement codée en dur qui correspond au hachage MD5 correct fourni par le serveur. Cependant, la légitimité de cette URL n’a pas encore été validée et Tencent n’a pas répondu à la question d’ESET.
De plus, les analystes n’ont pas pu récupérer un échantillon des données de mise à jour XML du serveur, ce qui révélerait le mécanisme de distribution des logiciels malveillants.
Dans un scénario AiTM, ESET a remarqué des similitudes frappantes avec les campagnes précédentes utilisant cette tactique, y compris l’un des LuoYu APT que Kaspersky a mis en évidence dans un rapport de 2022.
Cette campagne plus ancienne utilisait le logiciel malveillant « WinDealer » qui générait des adresses IP aléatoires de China Telecom pour effectuer l’AITM ou l’interception de l’attaquant sur le côté. Ces adresses IP semblent être sur les mêmes plages que celles qui ont livré le malware MgBot dans la campagne Evasive Panda.
Bien que les deux scénarios soient plausibles sur la base des coïncidences observées et des explications possibles, ESET n’a pas pu trouver de preuves indiquant une direction claire, et de nombreuses questions restent sans réponse.
Breachtrace a contacté ESET et Tencent avec d’autres questions sur l’attaque.
Le logiciel malveillant MgBot
La charge utile MgBot livrée dans cette campagne est une porte dérobée C++ Windows qu’Evasive Panda utilise depuis le début de ses opérations en 2012.
ESET rapporte que le programme d’installation, la porte dérobée, les fonctionnalités et la chaîne d’exécution du logiciel malveillant sont restés largement inchangés depuis que Malwarebytes les a analysés en 2020.
MgBot utilise une architecture modulaire pour étendre ses fonctionnalités, recevant des plugins DLL du C2 qui exécutent des fonctions spécialisées, notamment :
- Keylogging sur des applications Tencent spécifiques
- Voler des fichiers sur des disques durs et des clés USB
- Capture du texte copié dans le presse-papiers
- Capture des flux audio d’entrée et de sortie
- Vol des informations d’identification des clients de messagerie Outlook et Foxmail
- Vol d’informations d’identification de Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla, WinSCP, etc.
- Voler le contenu de la base de données Tencent QQ qui stocke l’historique des messages de l’utilisateur
- Voler des informations de Tencent WeChat
- Voler des cookies de Firefox, Chrome et Edge
En conclusion, l’Evasive Panda APT a été trouvé ciblant les utilisateurs en Chine, visant à voler des données principalement à partir d’applications chinoises, en exploitant une méthode peu claire pour effectuer une attaque de la chaîne d’approvisionnement sur le logiciel Tencent QQ.
Il s’agit d’un exemple caractéristique des capacités de haut niveau du groupe qui vont au-delà des méthodes d’infection standard comme l’ingénierie sociale, le phishing, l’empoisonnement SEO, etc., et appellent une plus grande vigilance des cibles potentielles.