S'inscrire

Cybersécurité - 21/10/2024

Les pirates informatiques APT41, un État chinois, ont attaqué le secteur des jeux de hasard pour en tirer un profit financier

Hacker utilisant un outil de cybersécurité

L’acteur prolifique de l’État-nation chinois connu sous le nom d’ APT41 (alias Brass Typhoon, Earth Baku, Wicked Panda ou Winnti) a été attribué à une cyberattaque sophistiquée ciblant l’industrie du jeu et du jeu.

« Sur une période d’au moins six mois, les attaquants ont recueilli furtivement des informations précieuses auprès de l’entreprise ciblée, y compris, mais sans s’y limiter, les configurations réseau, les mots de passe des utilisateurs et les secrets du processus LSASS », a déclaré Ido Naor, cofondateur et PDG de la société israélienne de cybersécurité Security Joes, dans un communiqué partagé avec The Hacker News.

« Pendant l’intrusion, les attaquants ont continuellement mis à jour leur boîte à outils en fonction de la réponse de l’équipe de sécurité. En observant les actions des défenseurs, ils ont modifié leurs stratégies et leurs outils pour contourner la détection et maintenir un accès permanent au réseau compromis. »

L’attaque en plusieurs étapes, qui visait l’un de ses clients et a duré près de neuf mois cette année, présente des chevauchements avec un ensemble d’intrusions suivi par le fournisseur de cybersécurité Sophos sous le nom d’ Opération Crimson Palace .

Naor a déclaré que la société avait répondu à l’incident il y a quatre mois, ajoutant que « ces attaques dépendent de décideurs parrainés par l’État. Cette fois, nous soupçonnons avec une grande confiance qu’APT41 recherchait un gain financier. »

La campagne est conçue dans un souci de furtivité, en exploitant une multitude de tactiques pour atteindre ses objectifs en utilisant un ensemble d’outils personnalisés qui non seulement contournent les logiciels de sécurité installés dans l’environnement, mais collectent également des informations critiques et établissent des canaux secrets pour un accès à distance persistant.

Security Joes a décrit APT41 comme étant à la fois « hautement qualifié et méthodique », soulignant sa capacité à lancer des attaques d’espionnage ainsi qu’à empoisonner la chaîne d’approvisionnement, conduisant ainsi au vol de propriété intellectuelle et à des intrusions motivées par des raisons financières telles que les ransomwares et l’extraction de crypto-monnaie.

Le vecteur d’accès initial exact utilisé dans l’attaque est actuellement inconnu, mais les preuves suggèrent qu’il s’agit d’e-mails de spear-phishing, étant donné l’absence de vulnérabilités actives dans les applications Web connectées à Internet ou de compromission de la chaîne d’approvisionnement.

« Une fois à l’intérieur de l’infrastructure ciblée, les attaquants ont exécuté une attaque DCSync, visant à récolter les hachages de mots de passe des comptes de service et d’administrateur pour étendre leur accès », a déclaré la société dans son rapport. « Avec ces informations d’identification, ils ont établi une persistance et maintenu le contrôle sur le réseau, en se concentrant particulièrement sur les comptes d’administrateur et de développeur. »

Les attaquants auraient mené méthodiquement des activités de reconnaissance et de post-exploitation, modifiant souvent leur boîte à outils en réponse aux mesures prises pour contrer la menace et accroître leurs privilèges dans le but final de télécharger et d’exécuter des charges utiles supplémentaires.

Certaines des techniques utilisées pour atteindre leurs objectifs incluent le détournement de Phantom DLL et l’utilisation de l’utilitaire légitime wmic.exe, sans parler de l’abus de leur accès aux comptes de service avec des privilèges d’administrateur pour déclencher l’exécution.

Les pirates informatiques ciblent le secteur des jeux de hasard />

L’étape suivante est un fichier DLL malveillant nommé TSVIPSrv.dll qui est récupéré via le protocole SMB, après quoi la charge utile établit un contact avec un serveur de commande et de contrôle (C2) codé en dur.

« Si le C2 codé en dur échoue, l’implant tente de mettre à jour ses informations C2 en récupérant les utilisateurs GitHub à l’aide de l’URL suivante : github[.]com/search?o=desc&q=pointers&s=joined&type=Users&. »

« Le malware analyse le code HTML renvoyé par la requête GitHub, à la recherche de séquences de mots en majuscules séparés uniquement par des espaces. Il collecte huit de ces mots, puis extrait uniquement les lettres majuscules entre A et P. Ce processus génère une chaîne de 8 caractères, qui code l’adresse IP du nouveau serveur C2 qui sera utilisé dans l’attaque. »

Le contact initial avec le serveur C2 ouvre la voie au profilage du système infecté et à la récupération de davantage de logiciels malveillants à exécuter via une connexion socket.

Security Joes a déclaré que les acteurs de la menace sont restés silencieux pendant plusieurs semaines après la détection de leurs activités, mais sont finalement revenus avec une approche remaniée pour exécuter du code JavaScript fortement obscurci présent dans une version modifiée d’un fichier XSL (« texttable.xsl ») à l’aide du wmic.exe LOLBIN.

« Une fois la commande WMIC.exe MEMORYCHIP GET lancée, elle charge indirectement le fichier texttable.xsl pour formater la sortie, forçant l’exécution du code JavaScript malveillant injecté par l’attaquant », ont expliqué les chercheurs.

Le JavaScript, pour sa part, sert de téléchargeur qui utilise le domaine time.qnapntp[.]com comme serveur C2 pour récupérer une charge utile de suivi qui prend les empreintes digitales de la machine et renvoie les informations au serveur, sous réserve de certains critères de filtrage qui servent probablement à cibler uniquement les machines qui intéressent l’acteur de la menace.

« Ce qui ressort vraiment dans le code, c’est le ciblage délibéré des machines avec des adresses IP contenant la sous-chaîne ‘10.20.22’ », ont déclaré les chercheurs.

« Cela met en évidence les appareils spécifiques qui sont précieux pour l’attaquant, à savoir ceux des sous-réseaux 10.20.22[0-9].[0-255]. En corrélant ces informations avec les journaux réseau et les adresses IP des appareils sur lesquels le fichier a été trouvé, nous avons conclu que l’attaquant utilisait ce mécanisme de filtrage pour s’assurer que seuls les appareils du sous-réseau VPN étaient affectés. »

Sujets récents