Posté le octobre 30, 2022 à 5:33
LES HACKERS CHINOIS D’APT10 IMPLANTENT LE LOGICIEL MALVEILLANT LODEINFO DANS LES LOGICIELS ANTIVIRUS
Le groupe de hackers Chinois Cicada a été découvert en train d’abuser des logiciels de sécurité antivirus pour installer une nouvelle version du logiciel malveillant LODEINFO contre des organisations Japonaises.
Le groupe de hackers, connu sous le nom d’APT10, a été observé en train de cibler des entités telles que des organisations gouvernementales et du secteur public, des agences diplomatiques, des groupes de médias et des groupes de réflexion au Japon. Ils ont ciblé ces organisations pour faire du cyberespionnage de haut niveau.
Selon la société de cybersécurité Kaspersky, les hackers modifient constamment leurs portes dérobées personnalisées et leurs méthodes d’attaque pour échapper à la détection. Ils ont maîtrisé l’acte de maintenir leurs activités à un niveau très bas tout en maintenant la persistance sur les systèmes ciblés. Kaspersky suit les opérations d’APT10 au Japon depuis 2019.
Kaspersky a publié deux rapports
La société de cybersécurité a publié deux rapports sur les activités des acteurs de la menace. Dans l’un des rapports, la société explique l’évolution du logiciel malveillant LODEINFO. Dans l’autre rapport, Kaspersky s’est concentré sur les méthodes d’infection de l’APT10.
Kaspersky a découvert que les attaques d’APT10 au Japon ont commencé à utiliser un autre vecteur d’infection en mars 2022. Ils ont combiné leurs outils d’attaque en abusant d’une faille de chargement latéral de DLL dans le réseau de sécurité et en utilisant un fichier RAR auto-extractible (SFX) et un e-mail de spear phishing.
Le RAR contient un DLL malveillant nommé K7SysMin1.dll et l’exécutable original du logiciel K7Security Suite, NRTOLD.exe. Lorsque le NRTOLD.exe est exécuté, il tente de charger le fichier principal K7SysMin1.dll qui est généralement ajouté à la suite logicielle.
Mais l’exécutable ne recherche pas la DLL dans un dossier particulier, ce qui permet aux développeurs de logiciels malveillants de construire une DLL malveillante portant le même nom que K7SysMn1.dll.
Le processus de chargement du logiciel malveillant rend la détection très difficile
Si les acteurs de la menace stockent la DLL malveillante dans le même dossier que les exécutables principaux, la DLL malveillante sera chargée automatiquement au lancement. Ce nouvel exécutable est chargé avec le logiciel malveillant LODEINFO.
Et une fois que le logiciel malveillant est chargé côte à côte avec l’application de sécurité légitime, il devient très difficile pour les autres logiciels de sécurité de le détecter comme étant malveillant.
« K7SysMn1.dll contient une BLOB avec une routine obfusquée qui n’a pas été observée dans les activités précédentes », note Kaspersky dans son rapport.
La société de cybersécurité ajoute que le BLOB est regroupé en morceaux de quatre octets, chacun d’entre eux étant stocké dans l’une des fonctions d’exportation nommées au hasard dans la bibliothèque.
Kaspersky ajoute que les fonctions d’exportation réorganisent le BLOB dans un tampon spécifique avant d’utiliser une clé XOR d’un octet pour décoder le shellcode LODEINFO.
L’archive est extraite en arrière-plan avant de lancer le processus d’infection. Une fois activée, la victime voit apparaître un document leurre au premier plan pour l’empêcher de détecter l’infection.
Kaspersky a déclaré avoir découvert une autre variante de la chaîne d’infection APT10 en juin 2022. Selon l’entreprise de sécurité, cette variante utilisait un shellcode de téléchargement inséré dans un document Microsoft Office protégé par un mot de passe et contenant un code VBA.
Cependant, au lieu de charger latéralement des DLL, le groupe de menace a utilisé un code macro pour transmettre et charger le shellcode directement dans le processus WINWORD.exe.
Six versions de LODEINFO ont été lancées cette année
Selon les chercheurs, les auteurs du logiciel malveillant ont sorti six nouvelles versions de LODEINFO cette année, la dernière, la version v0.6.7, ayant été dévoilée il y a deux mois.
La version 0.5.6 de LODEINFO a été publiée vers la fin de l’année dernière. Après la publication, le groupe APT10 a utilisé la clé de chiffrement Vigenere pour ajouter plusieurs couches de cryptage de communication C2 en combinaison avec des données indésirables générées de manière aléatoire.
Cette version utilise également l’outil d’obfuscation XOR pour les 21 commandes, avec le soutien d’une porte dérobée. En outre, le groupe APT10 a introduit un nouvel algorithme de calcul difficile pour le nom de la fonction API dans la version 0.5.9.
Les acteurs de la menace ont ajouté la prise en charge des plateformes 64 bits dans la version 0.6.2, ce qui a élargi les zones de ciblage du logiciel malveillant. La même version a ajouté une exception pour les systèmes utilisant la locale « en_US » afin d’éviter toute infection indésirable.
La version LOADINFO v.0.6.3 a été publiée en juin 2022. À l’époque, les acteurs de la menace ont rendu la porte dérobée plus maigre et plus efficace en supprimant dix commandes indésirables.
Les commandes qui sont toujours présentes dans les versions actuelles sont les suivantes
Changer de répertoire
Configurer (implémentation incomplète)
Télécharger un fichier depuis C2
Crypter des fichiers par une clé AES générée
Exécuter une commande en utilisant WM I
Injecter le shellcode dans la mémoire
Supprimer un processus en utilisant un ID de processus
Envoyer de logiciels malveillants et d’informations système
Afficher la liste des commandes de la porte dérobée intégrée
Prendre une capture d’écran
Télécharger un fichier vers C2
Les opérations de l’acteur de menaces présentent généralement des caractéristiques similaires, à savoir des chaînes d’infection furtives, une meilleure évasion et l’expansion de la plate-forme ciblée, ainsi qu’une évolution constante.
