Posté le juillet 5, 2023 à 5:17

DES HACKERS SPONSORISÉS PAR LA CHINE UTILISENT LA CONTREBANDE HTML POUR MENER LEURS ATTAQUES

Un groupe de hackers Chinois a été observé en train de cibler des ministères des affaires étrangères et des ambassades à travers l’Europe. Le groupe de hackers utilise des techniques de contrebande HTML pour diffuser le cheval de Troie d’accès à distance PlugX sur les systèmes compromis.

Des hackers Chinois se sont servis de la technique de contrebande HTML

Un rapport de la société de cybersécurité Check Point fait référence à l’activité menée par le groupe de hackers parrainé par la Chine sous le nom de SmugX. Les chercheurs de Check Point ont indiqué que ces activités de piratage duraient depuis au moins le mois de décembre de l’année dernière.

Les chercheurs de Check Point ont déclaré que cette activité s’inscrivait dans le cadre d’une tendance plus large menée par des réseaux Chinois qui se concentrent désormais sur le continent Européen. Les chercheurs ont aussi déclaré que cette campagne de piratage a déployé de nouvelles méthodes de livraison pour déployer une nouvelle variante de logiciel malveillant qui est connue sous le nom de PlugX.

Selon les chercheurs, « la campagne utilise de nouvelles méthodes de diffusion pour déployer (plus particulièrement – la contrebande HTML) une nouvelle variante de PlugX, un implant généralement associé à une grande variété d’acteurs de la menace Chinois ».

Les chercheurs ont par ailleurs indiqué que cette charge utile est restée similaire à celle qui a été observée dans les anciennes variantes du logiciel malveillant PlugX. Les méthodes de diffusion utilisées par le logiciel malveillant ont conduit à un faible taux de détection. Ce faible taux de détection a permis à ce logiciel malveillant de passer inaperçu pendant longtemps.

L’identité de l’acteur de la menace à l’origine de cette campagne malveillante n’a pas été révélée. Toutefois, les indices laissés dans cet exploit de piratage indiquent que la campagne a probablement été menée par Mustang Panda. Ce groupe de hackers partage certains chevauchements avec d’autres groupes qui ont été suivis comme Earth Preta, RedDelta, et Camaro Dragon.

Selon l’entreprise, il n’y avait pas de preuves suffisantes à l’époque pour attribuer le groupe de hackers Mustang Panda au collectif d’adversaires. La dernière séquence d’attaque déployée par les hackers a fait appel au contrebande HTML (HTML Smuggling), ce qui indique que les hackers pourraient avoir un niveau de sophistication élevé.

La contrebande HTLM est une technique de piratage qui permet aux acteurs de la menace de ne pas être détectés. Dans cette technique, les fonctions HTML et JavaScript légitimes sont exploitées et utilisées pour déployer des logiciels malveillants dans des documents leurres. Ces documents sont envoyés aux victimes visées par le biais de mails de spear-phishing.

La technique de contrebande HTML a suscité l’intérêt des chercheurs en cybersécurité. Selon un rapport publié par Trustwave au début de l’année, cette technique fait appel à des fonctions HTML 5 qui peuvent fonctionner hors ligne en stockant un binaire dans un bloc de données immuable qui existe dans le code JavaScript.

Les chercheurs de Trustwave ont ajouté que le bloc de données, également connu sous le nom de charge utile intégrée, sera décodé à l’aide d’un objet fichier une fois qu’il aura été ouvert par le navigateur web.

Les hackers ont ciblé des diplomates et des entités gouvernementales

La base de données de logiciels malveillants VirusTotal contenait en outre un téléchargement des documents analysés. L’analyse effectuée a également révélé que les documents analysés ont été conçus pour cibler des institutions gouvernementales et des diplomates.

Les entités visées appartenaient aux gouvernements de la Tchécoslovaquie, de la France, de la Hongrie, de la Slovaquie, de la Suède, de l’Ukraine et du Royaume-Uni. Dans l’un des cas, le hacker aurait utilisé un leurre sur le thème de l’Ouïghour. Ce leurre était intitulé « China Tries to Block Uyghur Speaker at UN.docx » (La Chine tente de faire obstacle à l’orateur ouïghour à l’ONU).

Une fois ce leurre ouvert, il se connecte à un serveur externe par l’intermédiaire d’un pixel de suivi intégré et invisible afin d’exfiltrer les données de reconnaissance. Le processus d’infection se déroule en plusieurs étapes et utilise les techniques de chargement latéral de DLL pour décrypter et libérer la charge utile finale connue sous le nom de PlugX, qui compromettra ensuite la victime visée.

Le logiciel malveillant PlugX est aussi connu sous le nom de Korplug. Le logiciel malveillant a une histoire riche, étant donné qu’il remonte à 2008. Korplug est un cheval de Troie modulaire capable de s’adapter à un large éventail de plugins tout en remplissant de multiples fonctions. Les opérateurs peuvent voler des fichiers, faire des captures d’écran, exécuter des commandes et enregistrer des frappes au clavier.

Les chercheurs de Check Point ont déclaré que pendant qu’ils menaient leurs investigations sur les échantillons obtenus, le hacker a publié un script batch qui a été envoyé depuis le serveur C&C. Ce script vise à se débarrasser de toute trace des activités de ces hackers.

Le script en question est connu sous le nom de del_RoboTask Update.bat, et il est utilisé pour se débarrasser de l’exécutable légitime, de la DLL du chargeur PlugX et de la clé de registre qui a été mise en place pour la persistance. Il s’effacera ensuite lui-même. Il n’a pas été révélé si cette action est le résultat du fait que les hackers savent qu’ils sont surveillés.