Des chercheurs en sécurité analysant une campagne de phishing ciblant des responsables russes ont trouvé des preuves indiquant que l’acteur menaçant basé en Chine était suivi sous le nom de Mustang Panda (également connu sous le nom de HoneyMyte et Bronze President).
Le groupe de menaces a déjà été vu orchestrer des campagnes de collecte de renseignements contre des cibles européennes, en utilisant des leurres de phishing inspirés par l’invasion russe de l’Ukraine.
La Russie est toujours restée dans le collimateur du groupe menaçant, bien qu’à une échelle limitée, car les deux pays entretiennent généralement de bonnes relations géopolitiques.
Dans un rapport aujourd’hui, la société de cybersécurité Secureworks présente de nouvelles preuves d’un tel ciblage, qui n’est peut-être pas aussi limité qu’on le pensait auparavant.
Hameçonnage des responsables russes
Les acteurs de la menace utilisent des leurres de phishing qui s’appuient sur des documents en anglais prétendument publiés par l’Union européenne, contenant des détails sur les sanctions contre la Biélorussie.
Bien que les fichiers envoyés soient des exécutables Windows (.exe), ils sont conçus pour apparaître au format PDF et portent le nom d’une ville russe proche de la frontière avec la Chine, Blagoveshchensk.
Cela suggère que les cibles de cette campagne sont le personnel russe dans la région, ce qui confirme davantage la théorie selon laquelle la Chine pourrait se tourner vers de nouveaux objectifs de collecte de renseignements.
Lors du lancement de l’exécutable, une foule de fichiers supplémentaires sont récupérés, y compris le document européen leurre mentionné précédemment, un chargeur DLL malveillant, une variante PlugX cryptée et un fichier .EXE signé numériquement.
Chargement de PlugX
Le chargeur DLL effectue le détournement d’ordre de recherche DLL à l’aide d’un fichier signé légitime (de Global Graphics Software Ltd basé au Royaume-Uni) qui est vulnérable à cette astuce. La méthode est typique de Mustang Panda, utilisée pour exécuter la charge utile du malware PlugX.
Cette approche permet aux acteurs de la menace de charger leur chargeur DLL DocConvDll.dll malveillant de manière furtive qui ne déclenche pas de solutions de sécurité sur le système.
Le chargeur DLL exporte huit fonctions mais une seule d’entre elles est livrée avec des instructions pertinentes. Il semble que ce soit pour échapper à l’analyse automatique.
La fonction ‘createSystemFontsUsingEDL’ charge, déchiffre et exécute le fichier FontLog.dat, qui est la charge utile PlugX.
Bien que l’échantillon PlugX analysé par Secureworks ait été corrompu, son code pointe vers le chargement latéral de DLL et l’exécution de logiciels malveillants à partir d’un répertoire nouvellement créé, à « C:ProgramDataFuji XeroxFonts ».
Le serveur de mise en scène utilisé dans cette campagne est le même que celui qui a soutenu la campagne des diplomates de l’UE, hébergeant également le zyber-i[.]com impliqué dans cette opération.
Il convient de noter que PlugX a été utilisé par tant d’adversaires que l’attribution basée sur ce malware est impossible.
Cependant, Secureworks a associé cette campagne à Bronze President/Mustang Panda en fonction de l’infrastructure utilisée, qui a été attribuée à cet acteur particulier dans le passé.
Perspectives
Bien que Mustang Panda continue de déployer les mêmes souches de logiciels malveillants et les mêmes outils de chargement, et même si certaines parties de son infrastructure se chevauchent avec les campagnes précédentes, l’acteur de la menace reste relativement furtif et puissant.
Son objectif semble être de rafraîchir les leurres de harponnage et de créer des e-mails spécialisés pour des opérations de ciblage très étroites, de sorte que la collecte de renseignements évolue constamment.
Pour l’instant, l’utilisation des indicateurs de compromission fournis pour la messagerie et la défense du réseau rendrait la plupart des tentatives d’infection de l’auteur de la menace inefficaces.