Crédit : Dreamstime
Le malware ShadowPad a été mis à l’honneur en 2017 lorsqu’il a été utilisé dans deux attaques de la chaîne d’approvisionnement de logiciels par un groupe de pirates informatiques parrainé par l’État chinois. Depuis, il est devenu l’outil de prédilection de plusieurs groupes de cyberespionnage qui seraient liés au ministère chinois de la Sécurité d’État (MSS) et à l’Armée de la liberté des individus (PLA).
» Le malware a très probablement été développé par des stars du risque affiliées à Bronze Atlas, puis montré aux groupes de danger MSS et PLA vers 2019 », ont déclaré des scientifiques de la société de sécurité Secureworks dans un nouveau rapport. » Compte tenu de la diversité des groupes utilisant ShadowPad, toutes les organisations susceptibles d’être ciblées par les groupes à risque chinois doivent surveiller les TTP liés à ce logiciel malveillant. «
Qui est Bronze Atlas ?
Bronze Atlas est l’alias utilisé par Secureworks pour un groupe de cyberespionnage chinois qui a été actif étant donné cela au moins en 2007. Ce groupe est connu sous différents noms dans l’industrie de la sécurité : APT41, Axiom, Barium, Wicked Panda et souvent Winnti, suite à un programme cheval de Troie qui est d’ailleurs resté longtemps dans la boîte à outils du groupe.
APT41 a en fait ciblé un large éventail d’organisations au cours de ses 15 ans d’histoire. Certains des ciblages semblaient correspondre aux intérêts géopolitiques de la Chine, tandis que d’autres ressemblaient davantage à des attaques de cybercriminalité destinées à prendre de l’argent. Cela a en fait déclenché des spéculations selon lesquelles soit APT41 est un spécialiste externe sur lequel les agences chinoises comptent pour certaines opérations, soit que de nombreux petits groupes sous la même égide sont chargés d’objectifs différents.
Quelques-unes de ces présomptions ont été partiellement validées en septembre 2020, lorsque le ministère américain de la Justice a levé les scellés contre trois ressortissants chinois et 2 ressortissants malais en lien avec les attentats APT41. Trois d’entre eux étaient impliqués dans la gestion d’une société appelée Chengdu 404 Network Technology qui fonctionnait prétendument comme une entreprise écran pour les activités du groupe.
Un autre hacker chinois appelé Tan Dailin, qui a été poursuivi en 2019 et est sur la liste des personnes recherchées par le FBI, aurait également traité APT41, ciblant les sociétés de jeux modernes et en ligne dans des attaques qui ont été attribuées à un groupe d’activités APT41 suivies comme Baryum par les entreprises de sécurité.
Il s’agit des attaques de la chaîne d’approvisionnement logicielle contre NetSarang, CCleaner et ASUS LiveUpdate. Dailin, connu en ligne sous le nom de Withered Rose, a été nommé dans des rapports précédents comme un développeur de logiciels malveillants qui s’est associé à un autre pirate appelé whg, qui est considéré comme l’un des auteurs du cheval de Troie PlugX.
PlugX remonte à 2008 et au fil des ans, a été l’un des moyens d’accès à distance aux chevaux de Troie (RAT) les plus couramment utilisés par les groupes de pirates chinois, y compris par APT41. Selon Secureworks et d’autres chercheurs sur les logiciels malveillants, il existe un chevauchement de code entre ShadowPad et PlugX, suggérant une éventuelle coopération entre leurs développeurs.
Qu’est-ce que ShadowPad ?
Comme PlugX, ShadowPad est un RAT qui est utilisé pour garder un accès ininterrompu aux ordinateurs compromis et permet aux pirates d’exécuter des commandes shell et des charges utiles supplémentaires. Les chercheurs de Secureworks ont en fait observé des attaques où le processus ShadowPad sur un système infecté a été utilisé pour générer de nombreux processus enfants cmd.exe, suggérant que les pirates communiquaient manuellement avec le système.
ShadowPad est déployé via une méthode appelée Chargement latéral de DLL, où les assaillants fournissent leur code nuisible sous la forme d’une DLL qui porte exactement le même nom que l’une des bibliothèques qu’une application légitime cherche à charger. Cela est possible avec des applications qui n’effectuent pas de vérifications supplémentaires sur le fichier DLL, comme la signature numérique, pour garantir qu’il n’a pas été falsifié.
Les chercheurs de Secureworks ont constaté que ShadowPad était chargé latéralement en tirant parti du fichier légitime exécutables AppLaunch.exe (Microsoft), hpqhvind.exe (Hewlett Packard), consent.exe (Microsoft), TosBtKbd.exe (Toshiba), BDReinit.exe (BitDefender) et Oleview.exe (Microsoft). L’utilisation de cette technique permet aux agresseurs d’échapper potentiellement à la détection puisque leur logiciel malveillant est rempli dans la mémoire d’une procédure générée par une application authentique.
Dans certaines attaques, la DLL escroc plantée par les adversaires consistait en le ShadowPad destructeur chiffré charge utile qui a ensuite été déchiffrée et exécutée en mémoire. Dans d’autres attaques, la charge utile a reçu un fichier crypté différent que la DLL a rempli dans le cadre de son régime. Cela maintient la DLL malveillante plus mince et sans code crypté à l’intérieur qui pourrait éventuellement déclencher des règles de détection.
Un déploiement normal de ShadowPad produira un tout nouveau répertoire sous C : ProgramData, C : Users
Après la toute première exécution, le fichier de charge utile est effacé et son contenu est déplacé vers le registre système. Un service Windows est alors développé pour effectuer toute la chaîne d’infection de ShadowPad au redémarrage du système.
Les différents APT utilisant ShadowPad
Alors que ShadowPad semblait être spécifiquement utilisé par Bronze Atlas dès le début, en 2019, il a commencé à apparaître dans des projets d’attaque contre les transports, les ressources naturelles, l’énergie et les organisations non gouvernementales que Secureworks attribue à un autre groupe appelé Bronze University.
La société pense qu’Atlas et University ont des liens avec le MSS chinois en fonction de la typologie des victimes et du type d’informations ciblées. Les campagnes de l’Université Bronze chevauchent l’activité expliquée par Pattern Micro dans un rapport couvrant un groupe que la société a surnommé Earth Lusca.
Les projets d’attaque utilisant ShadowPad observés en 2021 ont ciblé des organisations en Corée du Sud, en Russie, au Japon et en Mongolie. Ceux-ci ont été attribués par Secureworks à 2 groupes surnommés Bronze Huntley (alias Karma Panda et Team Tonto) et Bronze Butler (alias Tick) qui, selon la société, sont liés à l’APL chinois, en particulier à son Northern Theatre Command.
Étant donné En 2015, l’APL a été réformée et ses sept régions militaires ont été remplacées par 5 commandements de théâtre – Est, Sud, Nord, Ouest et Centre – chacun responsable de faire face à des dangers spécifiques dans ses zones et frontières particulières.
Selon Secureworks, cette modernisation comprenait la création de la Force d’assistance stratégique de l’APL (PLASSF ou SSF), qui se concentre sur la modernisation des capacités de l’APL dans les domaines de l’espace, du cyberespace et du domaine électromagnétique.
Les capacités de renseignement électromagnétique (SIGINT) autrefois liées au troisième département de l’état-major général de l’APL (3PLA), qui a été nommé responsable de certaines des activités de cyberespionnage de la Chine dans le passé, ont maintenant probablement été placé sous PLASSF et prend en charge les différentes commandes de théâtre.
Secureworks a observé des groupes d’activités ShadowPad qui partageaient des versions et des installations DLL dans des campagnes par rapport à des cibles en Inde et en Afghanistan.
» Des chercheurs tiers lié certaines de ces campagnes à un travail spécifique pour le compte du Western Theatre Command », ont déclaré les scientifiques de Secureworks CTU. » L’analyse de la CTU n’a pas révélé de preuves suffisantes pour prouver ces affirmations, mais les lieux et la victimologie sont cohérents avec les acteurs de la menace opérant au nom du Western Theatre Command. «
Enfin, une version distincte de ShadowPad a été observée ciblant des organisations en mer de Chine méridionale. Il y a un chevauchement entre les installations de commande et de contrôle utilisées dans cette campagne qui sont utilisées par la famille de logiciels malveillants Nebulae qui est créditée à un groupe APT chinois que Secureworks suit sous le nom de Bronze Geneva mais qui s’appelle également APT30. On pense que ce groupe correspond aux intérêts ciblés du Southern Theatre Command de l’APL.
Le rapport Secureworks comprend des indications de compromis liées à toutes les variantes, installations et projets de ShadowPad que l’entreprise a réellement suivis. Les organisations peuvent les utiliser pour construire des règles de détection pour leurs propres environnements.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
