Un acteur APT chinois soutenu par l’État, suivi sous le nom de « Antlion », utilise une nouvelle porte dérobée personnalisée appelée « xPack » contre les organisations financières et les entreprises manufacturières.
Le logiciel malveillant a été utilisé dans une campagne contre des cibles à Taïwan qui, selon les chercheurs, a duré plus de 18 mois, entre 2020 et 2021, permettant aux adversaires de mener des opérations de cyber-espionnage furtives.
Selon un rapport de Symantec, une société Broadcom, partagé avec EZpublish-france.fr, xPack a permis aux attaquants d’exécuter des commandes WMI à distance, d’exploiter les exploits EternalBlue et de monter des partages sur SMB pour fournir des données au serveur de commande et de contrôle (C2).
Dans le réseau pendant 250 jours
Les détails d’une attaque montrent que l’auteur de la menace a passé 175 jours sur le réseau compromis. Cependant, les chercheurs de Symantec analysant deux autres attaques ont déterminé que l’adversaire n’était pas détecté sur le réseau pendant 250 jours.
L’utilisation de logiciels malveillants personnalisés inconnus des analystes des menaces a joué un rôle clé dans l’atteinte de ce niveau de furtivité.
xPack est un chargeur .NET qui récupère et exécute des charges utiles cryptées AES, tout en étant également capable d’exécuter des commandes système et de préparer des données pour l’exfiltration.
Symantec a également repéré les outils personnalisés suivants qui accompagnaient xPack dans cette campagne :
- EHAGBPSL – Chargeur C++ personnalisé
- JpgRun – Chargeur C++ personnalisé
- CheckID – Chargeur C++ personnalisé basé sur un outil similaire utilisé par le BlackHole RAT
- NetSessionEnum – Outil d’énumération de session SMB personnalisé
- ENCODE MMC – Outil de transfert de fichiers personnalisé/inversé
- Outil Kerberos golden ticket basé sur le voleur d’informations d’identification Mimikatz
Antlion a également utilisé divers outils prêts à l’emploi et vivant hors de la terre (LoL) en combinaison avec ce qui précède pour atteindre une capacité opérationnelle complète sans lever les drapeaux de sécurité.
Des outils tels que PowerShell, WMIC, ProcDump, LSASS et PsExec étaient courants dans cette campagne, laissant des miettes de preuves qui se fondent facilement avec les fonctions ordinaires du système d’exploitation.
Enfin, les acteurs ont également été observés tirant parti de CVE-2019-1458 pour l’escalade de privilèges et la planification à distance qui ont aidé à exécuter la porte dérobée.
Cette vulnérabilité a récemment été incluse dans la liste des failles activement exploitées de CISA, c’est donc toujours une avenue attrayante pour plusieurs adversaires.
« Il existe également des preuves que les attaquants ont probablement automatisé le processus de collecte de données via des scripts batch, tandis qu’il existe également des preuves de cas où les données ont probablement été mises en scène pour une exfiltration supplémentaire, bien qu’elles n’aient pas été réellement observées exfiltrées du réseau », explique Symantec
« Dans ces cas, il semble que les attaquants étaient intéressés par la collecte d’informations à partir de logiciels concernant les contacts professionnels, les investissements et les lecteurs de cartes à puce. »
Dans les attaques disséquées par les analystes de Symantec, xPack a d’abord été utilisé pour collecter des informations système de base et des processus en cours d’exécution, puis pour vider les informations d’identification.
Ensuite, les acteurs sont revenus périodiquement et ont de nouveau lancé xPack pour voler les identifiants de compte de plusieurs machines dans les organisations compromises.
Antlion toujours actif et dangereux
On pense qu’Antlion est impliqué dans des activités de cyberespionnage depuis au moins 2011, c’est donc un acteur qui reste une menace pour les organisations depuis plus d’une décennie maintenant.
Son intérêt à cibler les entreprises taïwanaises a des prolongements politiques et s’inscrit dans la stratégie opérationnelle de la plupart des groupes parrainés par l’État chinois.
Comme détaillé dans le rapport de Symantec, la campagne particulière s’est concentrée sur le vidage des informations d’identification des systèmes compromis, puis sur leur utilisation pour se déplacer latéralement.
Il est possible qu’Antlion ait partagé ces informations d’identification avec d’autres groupes de hackers chinois qui avaient un objectif opérationnel différent, car il est courant que des acteurs travaillant pour le même État collaborent.