Les analystes des menaces ont découvert une nouvelle campagne attribuée à APT37, un groupe nord-coréen de pirates informatiques, ciblant des organisations de grande valeur en République tchèque, en Pologne et dans d’autres pays européens.
Dans cette campagne, les pirates utilisent un logiciel malveillant connu sous le nom de Konni, un cheval de Troie d’accès à length (RAT) able d’établir la persistance et d’effectuer une élévation des privilèges sur l’hôte.
Konni est associé à des cyberattaques nord-coréennes depuis 2014, et plus récemment, il a été vu dans une campagne de harponnage ciblant le ministère russe des Affaires étrangères.
La dernière campagne, toujours en cours, a été observée et analysée par des chercheurs de Sécuronixqui l’appelle Rigid#BIZON, et ressemble à des tactiques et des méthodes qui correspondent à la sophistication opérationnelle d’un APT (menace persistante avancée).
La campagne Rigid#BIZON
L’attaque begin par l’arrivée d’un e-mail de phishing avec une pièce jointe d’archive contenant un document Phrase (missile.docx) et un fichier de raccourci Home windows (_weapons.doc.lnk.lnk).
Lorsque le fichier LNK est ouvert, le code s’exécute pour trouver un script PowerShell codé en base64 dans le fichier DOCX afin d’établir la conversation C2 et de télécharger deux fichiers supplémentaires, « weapons.doc » et « wp.vbs ».
Le document téléchargé est un leurre, soi-disant un rapport d’Olga Bozheva, une correspondante de guerre russe. Dans le même temps, le fichier VBS s’exécute silencieusement en arrière-approach pour créer une tâche planifiée sur l’hôte.
A cette stage de l’attaque, l’acteur a déjà chargé la RAT et établi un lien d’échange de données, et est capable d’effectuer les steps suivantes :
- Capturez des captures d’écran à l’aide de l’API Earn32 GDI et exfiltrez-les au format GZIP.
- Extrayez les clés d’état stockées dans le fichier d’état area pour le déchiffrement de la foundation de données de cookies, utile pour contourner MFA.
- Extrayez les informations d’identification enregistrées des navigateurs Net de la victime.
- Lancez un shell interactif à distance qui peut exécuter des commandes toutes les 10 secondes.
Dans la quatrième étape de l’attaque, comme indiqué dans le diagramme ci-dessous, les pirates téléchargent des fichiers supplémentaires prenant en cost la fonction de l’échantillon Konni modifié, les récupérant sous forme d’archives «.cab» compressées.
Celles-ci incluent des DLL qui remplacent les bibliothèques de expert services Windows légitimes telles que “wpcsvc” dans Procedure32, qui est exploitée pour exécuter des commandes dans le système d’exploitation avec des privilèges utilisateur additionally élevés.
Liens possibles vers APT28
Alors que les tactiques et les outils pointent vers APT37, Securonix souligne la possibilité qu’APT28 (alias FancyBear) soit derrière la campagne Rigid#BIZON.
“Il semble y avoir une corrélation directe entre les adresses IP, le fournisseur d’hébergement et les noms d’hôte entre cette attaque et les données historiques que nous avons déjà vues de FancyBear/APT28”, conclut le rapport.
Les groupes de menaces parrainés par l’État tentent souvent d’imiter les TTP d’autres APT habiles pour masquer leur trace et induire en erreur les analystes des menaces, de sorte que les risques d’erreur d’attribution, dans ce cas, sont importants.