Actualités

“Ces leurres faisaient partie d’une chaîne d’exécution qui avait pour objectif de charger et d’exécuter un Cobalt Strike Beacon” : dernières mises en lumière concernant les cyber-attaques du groupe APT41 !

Dans un billet sécuritaire du 5 Octobre 2021, les chercheurs de BlackBerry viennent de mettre en relief plusieurs indices permettant de converger vers le groupe APT41 (Barium, Winnti, Wicked Panda, Wicked Spider) : se jouant de l’actualité sanitaire relative à la COVID-19, une campagne de phishing aurait permis le déploiement d’une “configuration inhabituelle” de Cobalt Strike avec, en cible essentielle, l’Europe et les Etats-Unis…

 

 

L’image que nous avons découverte était celle d’une campagne parrainée par l’État qui joue sur les espoirs des gens d’une fin rapide de la pandémie comme un leurre pour piéger ses victimes. Et une fois sur la machine d’un utilisateur, la menace se fond dans la menuiserie numérique en utilisant son propre profil personnalisé pour masquer son trafic réseau“, indique le communiqué officiel, tout en mentionnant la mise en exergue non-seulement d’un serveur command-and-control “sur mesure et adaptable“, deux campagnes de phishing déployées (“Higaisa ou Winnti ? – porte dérobée – et “The Gh0st Remains the Same“) ainsi que “trois autres leurres” relatifs et ciblant spécifiquement, ici, l’Inde mais sur le même sujet (la COVID-19, donc). “Ces leurres faisaient partie d’une chaîne d’exécution qui avait pour objectif de charger et d’exécuter un Cobalt Strike Beacon sur le réseau d’une victime. Les leurres et les pièces jointes de phishing correspondent également aux tactiques qui étaient auparavant utilisées dans les vecteurs d’infection par APT41. Ces résultats montrent que le groupe APT41 mène toujours régulièrement de nouvelles campagnes“, est-il ajouté.

Dans les faits – techniques – le programme “adaptable” (ou malléable) avait déjà été entrevue par l’équipe FireEye (Mandiant) : entre le 20 Janvier et le 11 Mars 2020, 4 vulnérabilités (sous Citrix Netscaler-ADC, Cisco (routeurs), Zoho ManageEngine Desktop Central) permettaient, entre-autres, le déploiement d’une porte dérobée (storescyncsvc.dll BEACON) pour amorcer le téléchargement d’une autre (!) porte dérobée depuis un serveur command-and-control hébergé à une adresse qui différait de celle usuellement exploitée. Un exécutable (2.exe), qui recelait une charge utile (VMProtected Meterpreter), prenait alors le relais pour, à son tour, télécharger Cobalt Strike BEACON via ShellCode. Au total et rien que pour l’échantillon analysé à l’époque, il était question de 75 comptes-client (FireEye), ce qui représentait, tout de même, des cibles en terme d’impacts, assez large : Australie, Canada, Danemark, Finlande, France, Inde Italie, Japon, Malaisie, Mexique, Etats-Unis, Philippines, Pologne, Qatar, Arabie Saoudite, Singapour, Suède, Suisse, Emirats Arabes Unis et le Royaume-Uni… Une stratégie de diversion (autant pour les outils sécuritaires type anti-virus d’un terminal infecté que pour le réseau-même dudit terminal) pour duper des yeux-utilisateur aguerris, autant que le terminal ainsi ciblé qui semble à nouveau se présenter et pourrait donc confirmer une corrélation notable avec les agissements des cyber-attaquants APT41. Un nouvel élément de preuve a été décelé dans ce sens par l’équipe BlackBerry sur GitHub dont l’auteur du command-and-contrôle adaptatif se prénomme 1135 ; certains points similaires ont été relevés (avec la campagne de Janvier-Mars 2020), tels que les HTTP GET “presque identiques” ou encore les en-tête HTTP (accept, user-agent, host, referer, set-uri).

 

En partant de ce pointage sommaire mais représentant des similitudes non-négligeables, les chercheurs ont pu concentrer leurs recherches pour mieux identifier les tenants et aboutissants des points de connexions de l’environnement gravitant autour de Cobalt Strike. “Nous pouvons trouver deux IOC qui apparaissent dans le cluster ci-dessus ; l’IP 149.28.78.89, et le domaine mlcrosoft.site. Le blog a associé ces IOC au groupe de menaces persistantes avancées (APT) Higaisa, qui opère à partir de la Corée du Nord […] L’IP 144.202.98[.]198 a également été précédemment associée à APT41/Barium par un chercheur de Microsoft. Une autre IP de ce cluster, 185.14.29[.]72, proposait depuis peu l’hébergement virtuel de plusieurs noms de domaine tels que : chaindefend[.]bid chaîne de défense.[]xyz assistancegarde[.]xyz microsoftonlineupdate.dynamic-dns[.]net“, détaille l’équipe sécuritaire en précisant que la résolution-IP, depuis le 14 Septembre 2021 pointe désormais vers www. microsoftonlineupdate. dynamic-dns[.]net.

 

Vecteur de choix, les indices ont poussés jusque dans un serveur Team dédié à la charge virale Cobalt Strike et ciblant Microsoft, depuis ccdn[.]microsoftdocs.workers[.]dev., afin d’optimiser, probablement, le déploiement du phishing via 3 PDFs vérolés : ceux-ci évoquent des avis ou alertes à la COVID-19, voire des informations en matière d’imposition fiscale pour l’Inde. La cyber-attaque par phishing de Septembre 2020, initialement attribuée au cyber-groupe Evilnum APT semblerait, du fait des mêmes similitudes et des conclusions présentes, être, en réalité, du fait, théoriquement donc, du cyber-groupe APT41… A veiller !

 

 

 

Source : blog BlackBerry – 5 Octobre 2021 – APT41 : dernières investigations sur une campagne de phishing command-and-control malléable, adaptable Cobalt Strike Beacon + indicateurs de compromission.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a