Group-IB a publié de nouvelles recherches sur le groupe de hackers parrainé par l’État APT41. L’équipe Group-IB Threat Intelligence estime qu’en 2021, les acteurs de la menace ont eu accès à au moins 13 organisations dans le monde. En analysant les campagnes malveillantes du groupe, les experts ont découvert des techniques et des artefacts adverses laissés par les attaquants qui indiquent leur origine.
Activité de groupe APT41
Le groupe d’attaquants parrainé par l’État APT41 (alias ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon), dont les objectifs sont le cyberespionnage et le gain financier, est actif depuis au moins 2007.
Les analystes de Group-IB Threat Intelligence ont identifié quatre campagnes de logiciels malveillants APT41 menées en 2021 et réparties géographiquement aux États-Unis, à Taïwan, en Inde, au Vietnam et en Chine. Les industries ciblées comprenaient le secteur public, la fabrication, la santé, la logistique, l’hôtellerie, l’éducation, ainsi que les médias et l’aviation. Selon Group-IB, il y a eu 13 victimes confirmées d’APT41 en 2021, mais le nombre réel pourrait être beaucoup plus élevé.
Dans les campagnes étudiées, le groupe a utilisé les outils de reconnaissance suivants : Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute et Sublist3r.
Les membres d’APT41 utilisent généralement l’hameçonnage, exploitent diverses vulnérabilités (y compris Proxylogon) et mènent des attaques par trou d’eau ou sur la chaîne d’approvisionnement pour initialement compromettre leurs victimes. Cependant, dans les campagnes récentes examinées par Group-IB, les attaquants ont effectué des injections SQL sur des sites Web en utilisant l’outil accessible au public SQLmap comme vecteur d’attaque initial.
Dans certaines organisations, le groupe a pu accéder au shell de commande du serveur ciblé, tandis que dans d’autres, il a accédé à des bases de données contenant des informations sur les comptes existants, des listes d’employés et des mots de passe en clair et hachés. Les injections SQL ont permis aux acteurs de la menace d’infiltrer les réseaux des victimes dans la moitié des cas : 43 sites Web sur 86 se sont révélés vulnérables.
Cobalt Strike : vieux mais doré
Group-IB a établi que le groupe utilisait une méthode unique de division d’une charge utile (une balise Cobalt Strike personnalisée) afin de télécharger du code malveillant sur des appareils cibles et de l’exécuter. Une fois la charge utile compilée, elle a été encodée en Base64, puis divisée en morceaux de 775 caractères et ajoutée à un fichier texte à l’aide d’une certaine commande.
Dans l’un des cas observés, pour écrire l’intégralité de la charge utile dans un fichier, les pirates devaient répéter cette action 154 fois. La même méthode atypique de division de la charge utile a été observée dans le réseau appartenant à une autre organisation, où les acteurs de la menace ont divisé le code en morceaux de 1 024 caractères. Pour écrire entièrement la charge utile, dans ce cas, ils avaient besoin de 128 itérations.
Les chercheurs de Group-IB soulignent que le groupe utilisait généralement certains serveurs exclusivement pour héberger le framework Cobalt Strike, tandis qu’il en exploitait d’autres uniquement pour l’analyse active via Acunetix. L’équipe a cependant identifié des serveurs qui ont été utilisés pour les deux. « Bien que les serveurs soient protégés par le service cloud Cloudflare, qui cache les adresses réelles des serveurs, le système Group-IB Threat Intelligence a détecté des backends de serveurs APT41, ce qui a permis de surveiller l’infrastructure malveillante du groupe et de bloquer rapidement leurs serveurs », a déclaré un spécialiste de Group-IB. dit.
Une découverte remarquable de Group-IB concernant Cobalt Strike est l’utilisation d’écouteurs avec des certificats SSL personnalisés. Les écouteurs sont utilisés pour accepter les connexions de la charge utile afin de maintenir la communication entre les bots et le serveur C&C. Dans les cas examinés, APT41 a utilisé des certificats SSL uniques qui imitaient « Microsoft », « Facebook » et « Cloudflare ».
Selon Group-IB, les serveurs avec de tels certificats sont apparus pour la première fois au début de 2020. À la fin de 2021, leur nombre atteignait 106. L’équipe a identifié plus de 100 serveurs Cobalt Strike qui ne sont utilisés que par APT41. La plupart ne sont plus actifs.
Travailler selon un calendrier
Les recherches sur les campagnes de logiciels malveillants APT41 à partir de 2021 ont aidé les analystes de Group-IB Threat Intelligence à aligner tous les horodatages du groupe sur UTC+8. En conséquence, ils sont arrivés aux conclusions suivantes. Le groupe commence à travailler à 9h et son activité s’arrête vers 19h. Plusieurs pays se trouvent dans le fuseau horaire de l’attaquant, notamment la Chine, la Malaisie, Singapour, certaines parties de la Russie et l’Australie.
En ce qui concerne l’attribution des acteurs menaçants, le rapport fournit une liste d’adresses IP principalement chinoises utilisées pour communiquer avec les serveurs Cobalt Strike. Les experts ont également noté l’utilisation de caractères chinois sur les appareils à partir desquels les attaques ont été menées. Fait intéressant, les chercheurs ont remarqué qu’un format pinyin spécifique était utilisé pour nommer les répertoires. Le pinyin est un système de romanisation qui représente les sons de la langue chinoise à l’aide de l’alphabet latin.
