Le groupe OceanLotus de pirates parrainés par l’État utilise désormais le format de fichier d’archive Web (.MHT et .MHTML) pour déployer des portes dérobées sur des systèmes compromis.
L’objectif est d’échapper à la détection par les outils de solutions antivirus qui sont plus susceptibles d’attraper les formats de documents couramment abusés et d’empêcher la victime de les ouvrir sur Microsoft Office.
Également suivis comme APT32 et SeaLotus, les pirates ont eu tendance dans le passé à essayer des méthodes moins courantes pour déployer des logiciels malveillants.
Un rapport de Netskope Threat Labs partagé avec EZpublish-france.fr à l’avance note que la campagne d’OceanLotus utilisant des fichiers d’archives Web est toujours active, bien que la portée du ciblage soit étroite et malgré la perturbation du serveur de commande et de contrôle (C2).
Des RAR fiables aux macros Word
La chaîne d’attaque commence par une compression RAR d’un fichier d’archive Web volumineux de 35 à 65 Mo contenant un document Word malveillant.
Source : Netskope
Pour contourner la protection de Microsoft Office, les acteurs ont défini la propriété ZoneID dans les métadonnées du fichier sur « 2 », le faisant apparaître comme s’il avait été téléchargé à partir d’une source fiable.
Source : Netskope
Lors de l’ouverture du fichier d’archive Web avec Microsoft Word, le document infecté invite la victime à « Activer le contenu », ce qui ouvre la voie à l’exécution d’un code de macro VBA malveillant.
Source : Netskope
Le script effectue les tâches suivantes sur la machine infectée :
- Dépose la charge utile dans « C:ProgramDataMicrosoftUser Account Picturesguest.bmp » ;
- Copie la charge utile dans « C:ProgramDataMicrosoft Outlook Syncguest.bmp » ;
- Crée et affiche un document leurre nommé « Document.doc » ;
- Renommez la charge utile de « guest.bmp » en « background.dll » ;
- Exécute la DLL en appelant les fonctions d’exportation « SaveProfile » ou « OpenProfile »
Une fois la charge utile exécutée, le code VBA supprime le fichier Word d’origine et ouvre le document leurre qui sert à la victime une fausse erreur.
Backdoor utilise le service d’hébergement Glitch
La charge utile déposée dans le système est une DLL 64 bits qui s’exécute toutes les 10 minutes grâce à une tâche planifiée se faisant passer pour une vérification de mise à jour WinRAR.
Source : Netskope
La porte dérobée est injectée dans le processus rundll32.exe s’exécutant indéfiniment dans la mémoire système pour échapper à la détection.
Source : Netskope
Le malware collecte des informations sur la carte réseau, le nom de l’ordinateur, le nom d’utilisateur, énumère les répertoires et fichiers système, vérifie la liste des processus en cours d’exécution.
Une fois que ces données de base sont rassemblées, la porte dérobée compile tout en un seul paquet et crypte le contenu avant de l’envoyer au serveur C2.
Ce serveur est hébergé sur Glitch, un service d’hébergement cloud et de collaboration pour le développement Web qui est fréquemment utilisé à des fins malveillantes.
Source : Netskope
En utilisant un service d’hébergement cloud légitime pour la communication C2, les acteurs réduisent encore plus les chances d’être détectés même lorsque des outils de surveillance du trafic réseau sont déployés.
Bien que Glitch ait supprimé les URL C2 identifiées et signalées par les chercheurs de Netskope, il est peu probable que cela empêche APT32 d’en créer de nouvelles en utilisant des comptes différents.
Pour la liste complète des indicateurs de compromission de cette campagne, vous pouvez consulter ce référentiel GitHub.