Une grande organisation américaine avec une présence significative en Chine aurait été piratée par des acteurs de la menace basés en Chine qui ont persisté sur ses réseaux d’avril à août 2024.
Selon les chercheurs en menaces de Symantec, l’opération semblait se concentrer sur la collecte de renseignements, impliquant plusieurs machines compromises et ciblant les serveurs Exchange, probablement pour l’exfiltration de courriels et de données.
Les chercheurs n’ont pas explicitement nommé l’organisation américaine piratée, mais ont mentionné que la même entité avait été ciblée par le groupe de menaces « Daggerfly » basé en Chine en 2023.
Chronologie de l’attaque
Bien que l’intrusion ait pu commencer plus tôt, la visibilité de Symantec sur l’incident a commencé le 11 avril 2024, lorsque des commandes WMI (Windows Management Instrumentation) suspectes et des vidages de registre ont été exécutés.
Le vecteur d’infection initial reste inconnu, mais Symantec a pu observer l’exécution de PowerShell pour interroger Active Directory sur les noms principaux de service (SPN) et les jetons Kerberos, une technique connue sous le nom de « Kerberoasting ».’
Le 2 juin, les auteurs de la menace ont pivoté vers une deuxième machine et ont utilisé un composant FileZilla renommé (putty.exe), probablement pour l’exfiltration de données, qui a ensuite été facilitée par PowerShell, WinRAR et un client PSCP.
Sur cette machine, les auteurs de la menace ont utilisé l’ibnettle-6 des fichiers.dll ‘ et ‘ textinputhost.dat ‘ pour persistence, qui ont déjà été vus (par Sophos et RecordedFuture) dans des attaques menées par le groupe de menaces chinois ‘Crimson Palace.’
À peu près au même moment, les attaquants ont infecté deux machines supplémentaires sur lesquelles ils ont sécurisé la persistance grâce à la manipulation du registre, et qu’ils ont utilisées pour la surveillance et les mouvements latéraux.
Sur ceux-ci, les pirates ont utilisé WMI pour interroger les journaux d’événements Windows pour les ouvertures de session et les verrouillages de compte, PowerShell pour tester la connectivité réseau comme RPC sur le port 135 et PDR sur le port 3389, et PsExec pour interroger les groupes de domaines, y compris les serveurs Exchange.
Enfin, le 13 juin, une cinquième machine de l’organisation a été compromise, où les attaquants ont lancé ‘iTunesHelper.exe ‘ pour charger une DLL malveillante (‘CoreFoundation.dll’) pour l’exécution de la charge utile.
Un aspect intéressant de l’attaque est que les pirates informatiques ont attribué des rôles distincts à chacune des machines piratées et ont suivi une approche structurée qui leur a permis de persister et de recueillir systématiquement des renseignements.
L’attribution basée sur l’activité précédente par rapport à l’organisation et aux fichiers ciblés est faible.
Cependant, Symantec note également que l’utilisation intensive d’outils » vivant de la terre” tels que PsExec, PowerShell, WMI et des outils open source tels que FileZilla, Impacket et PuTTY SSH s’aligne sur les tactiques des pirates informatiques chinois.