Des pirates informatiques ont volé des données non détectées à des organisations américaines et européennes depuis 2019

Hacker hacking

Le groupe de piratage chinois connu sous le nom de « Winnti » vole furtivement des actifs de propriété intellectuelle tels que des brevets, des droits d’auteur, des marques et d’autres données d’entreprise – tout en restant non détecté par les chercheurs et les cibles depuis 2019.

Winnti, également suivi sous le nom d’APT41, est un groupe de cyberespionnage avancé et insaisissable qui serait soutenu par l’État chinois et agit au nom de ses intérêts nationaux.

La campagne de cybercriminalité découverte est en cours depuis au moins 2019 et ciblait des entreprises de technologie et de fabrication en Asie de l’Est, en Europe occidentale et en Amérique du Nord.

Opération CuckooBees

Cette opération criminelle est connue sous le nom d' »Opération CuckooBees » et a été découverte par des analystes de Cybereason, qui ont révélé de nouveaux logiciels malveillants déployés par le groupe notoire de pirates, les mécanismes qu’ils exploitent pour les intrusions et les méthodes complexes de livraison de charge utile qu’ils utilisent.

Étapes opérationnelles de Winnti
Étapes opérationnelles de Winnti (Cyberaison)

« Avec des années pour mener subrepticement des reconnaissances et identifier des données précieuses, on estime que le groupe a réussi à exfiltrer des centaines de gigaoctets d’informations.

Les attaquants ont ciblé la propriété intellectuelle développée par les victimes, notamment des documents sensibles, des plans, des diagrammes, des formules et des données exclusives liées à la fabrication. – Cyberaison.

Les pertes financières subies par « CuckooBees » sont difficiles à déterminer, mais le chiffre devrait être à une échelle qui place l’opération parmi les cyber-campagnes les plus dommageables de ces dernières années.

Une opération furtive

La chaîne d’infection observée dans Operation CuckooBees commence par l’exploitation de vulnérabilités connues et zero-day dans les plateformes ERP utilisées par les cibles.

Winnti établit la persistance via un WebShell codé, en abusant du protocole WinRM pour l’accès à distance, des services Windows IKEEXT et PrintNotify pour le chargement latéral de DLL, ou en chargeant un rootkit de noyau signé.

Une fois qu’ils ont pris pied sur les réseaux, les pirates effectuent une reconnaissance à l’aide de commandes Windows intégrées telles que « systeminfo », « net start », « net user » et « dir c: », qui ne déclencheront probablement aucune alerte en cas de suspicion. activité, même lorsqu’elle est exécutée dans des fichiers de commandes via une tâche planifiée.

Commandes utilisées pour le mouvement latéral
Commandes utilisées pour la reconnaissance
(Cyberaison)

Pour le vidage des informations d’identification, Winnti utilise soit la commande « reg save » pour enregistrer les mots de passe volés dans un endroit sûr, soit une variante d’un outil précédemment non documenté nommé « MFSDLL.exe ».

Pour le mouvement latéral, les pirates continuent d’abuser des tâches planifiées de Windows avec un ensemble de fichiers de commandes spéciaux.

Tâche planifiée pour le mouvement latéral
Tâche planifiée pour le mouvement latéral (Cyberaison)

Enfin, pour la collecte et l’exfiltration des données, les acteurs de la menace déploient une application WinRAR portable en ligne de commande qui comporte une signature numérique valide et utilise « rundll32.exe » pour son exécutable.

Signature WinRAR
Signature WinRAR (Cyberaison)

Nouvelles découvertes

Ce qui ressort du rapport de Cybereason, c’est un nouveau malware Winnti surnommé « DEPLOYLOG » et la méthode d’abus du mécanisme Windows CLFS (Common Log File System) pour dissimuler la charge utile.

CLFS est un système de journalisation interne pour les systèmes d’exploitation Windows, qui utilise un format de fichier propriétaire accessible uniquement via les fonctions API du système. En tant que tel, ses fichiers journaux sont ignorés par les scanners AV tandis que les inspecteurs humains ne disposent pas d’un outil capable de les analyser.

Winnti abuse de ce système pour stocker et masquer ses charges utiles qui sont déposées sur le système cible sous forme de journal CLFS, puis extraites et exécutées via des appels API CLFS.

Le logiciel malveillant DEPLOYLOG, qui n’a pas été documenté auparavant, est une DLL 64 bits (masquée sous le nom de « dbghelp.dll ») qui extrait et exécute la charge utile finale de Winnti, le rootkit WINNKIT, puis établit deux canaux de communication avec le C2 distant et le rootkit au niveau du noyau.

Certains des logiciels malveillants utilisés pour abuser de Windows CLFS étaient précédemment découvert par Mandiant mais n’avaient été attribués à aucun acteur menaçant.

Toutes les souches de logiciels malveillants et les étapes de chargement qui conduisent au déploiement de Winnkit
Les souches de logiciels malveillants et les étapes de chargement qui conduisent au déploiement de Winnkit (Cyberaison)

WINNKIT est la charge utile la plus évasive et la plus sophistiquée de l’acteur menaçant, qui a été abondamment analysé dans le passé. Pourtant, même après tout ce temps, il reste largement insensible à la détection antivirus.

Dans Operation CuckooBees, WINNKIT utilise l’injection de chargement réflective pour injecter ses modules malveillants dans les processus svchost légitimes.

« WINNKIT contient une signature numérique BenQ expirée, qui est utilisée pour contourner le mécanisme DSE (Driver Signature Enforcement) qui exige que les pilotes soient correctement signés avec des signatures numériques afin d’être chargés avec succès », explique le rapport sur les logiciels malveillants par Cybereason.

« Ce mécanisme a été introduit pour la première fois dans Windows Vista 64 bits et affecte toutes les versions de Windows depuis lors. »

Après une initialisation réussie, WINNKIT connectera la communication réseau et commencera à recevoir des commandes personnalisées via DEPLOYLOG.

Interactions DEPLOYLOG et WINNKIT com
Interactions DEPLOYLOG et WINNKIT com (Cyberaison)

Défendre votre réseau

Malgré les inculpations des membres de Winnti annoncées au cours des deux dernières années par le ministère américain de la Justice, et peu importe le nombre de rapports techniques analysant ses outils et ses tactiques publiés, le célèbre groupe de cyberespionnage chinois reste actif et industrieux.

Cybereason pense qu’en raison de la complexité, de la furtivité et de la sophistication de l’opération CuckooBees, il est très probable que Winnti ait compromis beaucoup plus d’entreprises que celles qu’ils ont pu vérifier.

Le meilleur pari pour les défenseurs contre de telles menaces est de mettre à jour tous leurs logiciels vers la dernière version disponible, de surveiller tout le trafic réseau et d’utiliser la segmentation du réseau.

Pour plus de détails sur les TTP de Winnti, consultez un autre Article de blog Cybereason qui se concentre sur les techniques, ou un tiers consacré aux logiciels malveillants utilisés dans la campagne.