Des chercheurs en sécurité ont découvert une campagne malveillante de longue date menée par des pirates informatiques associés au gouvernement chinois qui utilisent VLC Media Player pour lancer un chargeur de logiciels malveillants personnalisé.
La campagne semble servir à des fins d’espionnage et a ciblé diverses entités impliquées dans des activités gouvernementales, juridiques et religieuses, ainsi que des organisations non gouvernementales (ONG) sur au moins trois continents.
Cette activité a été attribuée à un acteur menaçant suivi sous le nom de Cicada (alias menuPass, Stone Panda, Potassium, APT10, Red Apollo) qui est actif depuis plus de 15 ans, depuis au moins 2006.
Utilisation de VLC pour déployer un chargeur de logiciels malveillants personnalisé
Le début de la campagne actuelle de Cicada a été suivi jusqu’à la mi-2021 et était toujours actif en février 2022. Les chercheurs disent que cette activité pourrait se poursuivre aujourd’hui.
Il existe des preuves qu’un accès initial à certains des réseaux piratés s’est fait via un serveur Microsoft Exchange, ce qui indique que l’acteur a exploité une vulnérabilité connue sur des machines non corrigées.
Des chercheurs de Symantec, une division de Broadcom, ont découvert qu’après avoir accédé à la machine cible, l’attaquant déployait un chargeur personnalisé sur des systèmes compromis à l’aide du populaire lecteur multimédia VLC.
Brigid O Gorman de Symantec Threat Hunter Team a déclaré à EZpublish-france.fr que l’attaquant utilise une version propre de VLC avec un fichier DLL malveillant dans le même chemin que les fonctions d’exportation du lecteur multimédia.
La technique est connue sous le nom de chargement latéral de DLL et est largement utilisée par les acteurs de la menace pour charger des logiciels malveillants dans des processus légitimes afin de masquer l’activité malveillante.
Outre le chargeur personnalisé, qui, selon O Gorman, Symantec n’a pas de nom mais a été vu lors d’attaques précédentes attribuées à Cicada/APT10, l’adversaire a également déployé un serveur WinVNC pour prendre le contrôle à distance des systèmes victimes.
L’attaquant a également exécuté la porte dérobée Sodamaster sur des réseaux compromis, un outil censé être utilisé exclusivement par le groupe de menaces Cicada depuis au moins 2020.
Sodamaster s’exécute dans la mémoire système (sans fichier) et est équipé pour échapper à la détection en recherchant dans le registre des indices d’un environnement sandbox ou en retardant son exécution.
Le logiciel malveillant peut également collecter des détails sur le système, rechercher des processus en cours d’exécution, télécharger et exécuter diverses charges utiles à partir du serveur de commande et de contrôle.
Plusieurs autres utilités ont été observées dans cette campagne, notamment :
- Outil d’archivage RAR – aide à compresser, chiffrer ou archiver des fichiers, susceptibles d’être exfiltrés
- Découverte système/réseau – un moyen pour les attaquants d’en savoir plus sur les systèmes ou services connectés à une machine infectée
- WMIExec – Outil de ligne de commande Microsoft pouvant être utilisé pour exécuter des commandes sur des ordinateurs distants
- NBTScan – un outil open source qui a été observé utilisé par des groupes APT pour la reconnaissance dans un réseau compromis
Le temps passé par les attaquants sur les réseaux de certaines des victimes découvertes a duré jusqu’à neuf mois, notent les chercheurs dans un rapport aujourd’hui.
Une focalisation plus large
Bon nombre des organisations ciblées par cette campagne semblent être des organisations gouvernementales ou des ONG (impliquées dans des activités éducatives ou religieuses), ainsi que des entreprises des secteurs des télécommunications, juridique et pharmaceutique.
Les chercheurs de Symantec mettent en évidence la vaste géographie de cette campagne Cicada, qui compte des victimes aux États-Unis, au Canada, à Hong Kong, en Turquie, en Israël, en Inde, au Monténégro et en Italie.
A noter, une seule victime vient du Japon, un pays qui fait l’objet du groupe Cicada depuis de nombreuses années.
Par rapport au ciblage précédent de ce groupe, qui se concentrait sur les entreprises liées au Japon, les victimes de cette campagne indiquent que l’acteur menaçant a élargi son intérêt.
Tout en se concentrant sur les entreprises liées au Japon, Cicada a ciblé dans le passé les secteurs de la santé, de la défense, de l’aérospatiale, de la finance, de la marine, de la biotechnologie, de l’énergie et du gouvernement.
Au moins deux membres du groupe de menace APT10 ont été inculpés aux États-Unis pour des activités de piratage informatique afin d’aider le bureau de la sécurité de l’État de Tianjin du ministère chinois de la Sécurité d’État (MSS) à obtenir la propriété intellectuelle et des informations commerciales confidentielles auprès de fournisseurs de services gérés, d’agences gouvernementales américaines et de plus de 45 entreprises technologiques.