Tactiques et techniques d'évasion des APT associées à la Chine

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .

Les chercheurs de Mandiant ont étudié les activités d’espionnage des modes opératoires des attaquants (MOA) associés à la Chine entre 2021 et 2022. De la phase de compromission initiale à l’exfiltration des données, les APTs associées à la Chine ont mis en place des mécanismes visant à limiter les possibilités de détection et d’attribution des attaques.

L’analyse de Mandiant met en évidence l’exploitation par les modes opératoires chinois de nombreuses 0-day dans divers logiciels de sécurité, de mise en réseau, des hyperviseurs et des routeurs. Les chercheurs ont observé des tactiques, dites living-off-the-land, visant à déguiser le trafic des attaquants à l’intérieur des réseaux des victimes. Les logiciels de virtualisation peuvent ne pas être compatibles avec les solutions de détection et de réponse des points finaux (EDR), entraînant une diminution des possibilités de détection et complexifiant l’attribution de leurs attaques.

2 campagnes récentes illustrent les observations apportées par Mandiant

Le cas d’UNC3886

Le MOA UNC3886 aurait exploité deux 0-day pour établir une persistance dans les organisations ciblées et accéder à des environnements virtualisés de la base industrielle de défense (DIB), et diverses organisations de télécommunications aux États-Unis et en Asie. Lors de cette campagne, les opérateurs ont limité leur présence sur les réseaux ciblés, préférant se concentrer sur les technologies de virtualisation VMware traditionnellement dépourvues de solutions EDR.

UNC3886 a également effacé et modifié les journaux et désactivé la vérification du système de fichiers au démarrage pour éviter d’être détecté. UNC3886 a exploité la CVE-2022-41328 pour écraser des fichiers légitimes dans un répertoire système normalement restreint et des malwares conçus pour interagir avec les dispositifs Fortinet, notamment THINCRUST, CASTLETAP, TABLEFLIP et REPTILE.

Ayant accès aux dispositifs Fortinet des organisations ciblées, UNC3886 a interagi avec les serveurs VMware vCenter et s’est appuyé sur des bundles d’installation vSphere malveillants pour installer les backdoors personnalisées VIRTUALPITA et VIRTUALPIE sur les hyperviseurs ESXi. UNC3886 a exploité la CVE-2023-20867 de contournement d’authentification sur les hôtes ESXi pour permettre l’exécution de commandes privilégiées sur les machines virtuelles invitées sans qu’aucun journal supplémentaire ne soit généré sur les machines.

Le cas d’UNC4841

UNC4841 a exploité la 0-day référencée CVE-2023-2868, dans Barracuda Email Security Gateway (ESG) dans le cadre d’une campagne ciblant des organisations publiques et privées dans le monde entier à des fins de collecte de renseignements. Les opérateurs de UNC4841 ont montré un intérêt particulier pour les informations présentant un intérêt politique ou stratégique pour la Chine. En outre, dans l’ensemble des entités sélectionnées pour l’exfiltration ciblée de données, des scripts shell ont été découverts ciblant des utilisateurs des ministères des Affaires étrangères des pays membres de l’ANASE, ainsi que des personnes travaillant dans des bureaux de commerce extérieur et des organismes de recherche universitaire à Taïwan et à Hong Kong.

En plus de continuer à cibler un dispositif de sécurité, les opérateurs ont envoyé des courriels avec des pièces jointes (fichiers TAR) spécialement conçus pour exploiter la CVE-2023-2868, permettant d’exécuter des commandes arbitraires avec les privilèges élevés du produit ESG. Le MOA UNC4841 a également développé des malwares personnalisés utilisant des conventions de dénomination conformes aux fichiers ESG légitimes (notamment SALTWATER, SEASIDE, SEASPY) et a inséré une backdoor personnalisée dans des modules Barracuda légitimes (notamment SEASPRAY et SKIPJACK).

Dans certains cas, UNC4841 a utilisé des certificats temporaires SSL auto-signés légitimes et des certificats volés dans les environnements des victimes pour masquer le trafic des serveurs C2. Après la divulgation de la vulnérabilité par Barracuda et les premières mesures correctives, UNC4841 a riposté en modifiant rapidement ses malwares, en employant des mécanismes de persistance supplémentaires et en se déplaçant latéralement pour tenter de conserver l’accès aux environnements compromis.

Exploitation des botnets à des fins d’évasion

Au cours des trois dernières années, les chercheurs de Mandiant ont identifié des opérations d’espionnage utilisant des botnets d’appareils IoT et des routeurs compromis pour masquer le trafic externe entre l’infrastructure C2 et les environnements des victimes. Mandiant indique que cette technique a été observée lors d’attaques associées à APT41, APT31, APT15, TEMP.Hex et Volt Typhoon.

  • En mai 2023, Microsoft avait observé, en conjonction avec d’autres techniques, l’exploitation d’un botnet d’appareils SOHO compromis pour acheminer le trafic réseau d’APT Volt Typhoon afin de cibler des infrastructures critiques aux États-Unis. Mandiant estime que l’activité décrite dans le rapport de Microsoft recoupe largement un MOA ciblant des organisations gouvernementales et de transport, via l’exploitation d’une vulnérabilité récemment divulguée dans Zoho ADSelfService Plus.
  • En 2023, CheckPoint a détecté APT Camaro Dragon exploitant une backdoor personnalisée baptisée « Horse Shell » dans le cadre d’activités ciblant des organisations européennes du secteur des affaires étrangères. Horse Shell a été découvert dans une image modifiée du micrologiciel d’un routeur TP-Link, permettant aux opérateurs d’établir un proxy SOCKS et de transférer des fichiers. Les chercheurs de CheckPoint ont estimé que les opérateurs avaient infecté des routeurs résidentiels pour obscurcir le trafic entre les serveurs C2 et les victimes compromises.

L’utilisation de botnets, l’acheminement du trafic par proxy dans un réseau compromis et le ciblage des équipements périphériques ne sont pas des tactiques nouvelles et ne sont pas non plus l’apanage des MOA associés à l’État chinois. Toutefois, au cours de la dernière décennie, Mandiant estime que le recours à ces tactiques par les opérateurs chinois s’inscrit dans le cadre d’une sophistication des opérations d’espionnage attribuées à l’État chinois.

Engagée en 2010, la restructuration de l’Armée populaire de libération chinoise et du Ministère de la Sécurité d’Etat (MSE), accompagnée des structures juridiques et institutionnelles orientant la recherche sur les vulnérabilités par l’intermédiaire des autorités gouvernementales indiquent que des investissements à long terme ont été réalisés par l’État chinois pour doter les opérateurs APT chinois de tactiques, d’outils et d’exploits plus sophistiqués.

Références

CERT-XMCO

Découvrir d'autres articles