Le cyberespionnage a le vent en poupe – Comment APT32 fait planer la menace sur les entreprises du monde entier

Baptisé APT32 par FireEye, le groupe de cyberespions OceanLotus s’est récemment fait remarquer pour ses attaques contre des entreprises privées de multiples secteurs d’activité, mais aussi contre des puissances étrangères, des dissidents et autres journalistes. Selon FireEye, APT32 exploite une suite unique de malwares ultrasophistiqués, en conjonction avec des outils disponibles sur le Dark Web, pour la conduite d’opérations ciblées au service de l’État vietnamien.

APT32 et intervention coordonnée de FireEye

Au cours de leurs investigations sur les intrusions de plusieurs entreprises possédant des intérêts économiques au Vietnam, les analystes et intervenants Mandiant ont levé le voile sur les activités et infrastructures sous contrôle des pirates, coulisses d’une campagne d’intrusions de grande ampleur. En mars 2017, en réponse au ciblage répété de ses clients, FireEye a déclenché un événement de protection communautaire (CPE, Community Protection Event). Objectif : coordonner les efforts des spécialistes Mandiant d'intervention sur incident, de FireEye as a Service (FaaS), de FireEye iSight Intelligence et des ingénieurs produits de FireEye pour protéger tous nos clients contre les activités d’APT32.

Au cours des semaines suivantes, FireEye a proposé de nouveaux produits de cyberveille et des profils de malwares actualisés à ses clients, tout en développant de nouvelles techniques de détection des outils et leurres de phishing d’APT32. En plus de permettre l’identification de nouvelles victimes externes, notre action ciblée de cyberveille et de détection a apporté suffisamment de preuves techniques pour attribuer une douzaine d’intrusions antérieures au groupe de pirates concerné. Ainsi, FireEye a pu faire le lien entre quatre clusters d’activités malveillantes sans connexion apparente. C’est ainsi que FireEye a mis au grand jour les activités d’un nouveau groupe de menaces persistantes avancées qu’il a baptisé APT32.

Attaques ciblées d’APT32 contre des entreprises privées en Asie du Sud-Est

Depuis au moins 2014, FireEye observe les activités d’APT32 à l’encontre d’entreprises étrangères possédant des intérêts économiques dans les secteurs vietnamiens de l’industrie, des biens de consommation et de l’hôtellerie. Certains signes montrent que les pirates du groupe s’attaquent également à des sociétés de sécurité des réseaux et autres fournisseurs d’infrastructures technologiques.

Voici un bref aperçu des intrusions attribuées à APT32 par FireEye lors de ses investigations post-incidents :

  • En 2014, une entreprise européenne a été compromise alors qu’elle s'apprêtait à lancer un chantier de construction d’une usine au Vietnam.
  • En 2016, le groupe a ciblé des entreprises vietnamiennes et étrangères de divers secteurs : sécurité des réseaux, infrastructures technologiques, banques et médias. 
  • Au milieu de l’année 2016, FireEye a détecté un malware portant la marque d’APT32 sur les réseaux d’un groupe mondial de complexes hôteliers prévoyant de s’implanter au Vietnam.
  • Entre 2016 et 2017, deux filiales vietnamiennes d’entreprises de biens de consommation originaires des États-Unis et des Philippines ont été les cibles d’opérations d’intrusion de la part d’APT32.

Le tableau 1 offre un résumé des activités d’APT32, y compris les familles de malwares utilisées dans chaque cas.

Année

Pays

Secteur

Malware

2014

Vietnam

Sécurité réseau

WINDSHIELD

2014

Allemagne

Industrie

WINDSHIELD

2015

Vietnam

Médias

WINDSHIELD

2016

Philippines

Biens de consommation

KOMPROGO
WINDSHIELD
SOUNDBITE
BEACON
 

2016

Vietnam

Banques

WINDSHIELD

2016

Philippines

Infrastructure technologique

WINDSHIELD

2016

Chine

Hôtellerie

WINDSHIELD

2016

Vietnam

Médias

WINDSHIELD

2016

États-Unis

Biens de consommation

WINDSHIELD
PHOREAL
BEACON
SOUNDBITE

Tableau 1 : Attaques ciblées d’APT32 contre le secteur privé, identifiées par FireEye

APT32 : un intérêt marqué pour l’ingérence politique et les puissances étrangères

Hormis ses attaques ciblées à l’encontre d’entreprises privées possédant des intérêts au Vietnam, depuis au moins 2013, APT32 prend également pour cibles des gouvernements étrangers, ainsi que des dissidents et journalistes vietnamiens. Voici un bref aperçu de ce type d’activités :

  • Un article de blog public publié par la Electronic Frontier Foundation a révélé qu’en 2013, des journalistes, activistes, dissidents et blogueurs sont devenus la cible de malwares et tactiques portant la marque d’APT32.
  • En 2014, APT32 a mené une campagne de spear-phishing consistant à envoyer une pièce jointe exécutable intitulée « Plans to crackdown on protesters at the Embassy of Vietnam.exe » " à des dissidents de la diaspora vietnamienne en Asie du Sud-Est. La même année, le groupe s’est attaqué au corps législatif national d’un pays occidental.
  • En 2015, les SkyEye Labs, division de recherche en sécurité de la société chinoise Qihoo 360, ont publié un rapport qui détaillait les cybercriminels prenant pour cible des entités chinoises publiques et privées, y compris des administrations, des instituts de recherche, les autorités maritimes, des entreprises de construction en mer et des compagnies maritimes. Selon ce rapport, les auteurs utilisaient les mêmes malwares, exploitaient la même infrastructure et visaient les mêmes profils de cibles qu’APT32.
  • En 2015 et 2016, deux organes de presse vietnamiens ont été infectés par des malwares que FireEye considère comme spécifiques à APT32.
  • En 2017, les analyses de contenus et techniques d’ingénierie sociale convergent vers la piste d’actions menées contre des membres de la diaspora vietnamienne en Australie, mais aussi contre des fonctionnaires aux Philippines.

Tactiques d’APT32

Dans le cadre de sa campagne actuelle, APT32 exploite des fichiers ActiveMime associés à des méthodes d’ingénierie sociale incitant les victimes à activer les macros à leur insu. Lors de son exécution, le fichier initialisé télécharge plusieurs malwares à partir de serveurs distants. Le groupe continue de diffuser les pièces jointes infectées au moyen d'e-mails de spear-phishing.

APT32 a développé des documents-leurres multilingues adaptés à chaque victime. Sous l’apparence de fichiers Word « .doc », les leurres de phishing récupérés étaient en fait des archives de pages web ActiveMime « .mht » contenant du texte et des images. Ces fichiers ont probablement été créés via l’exportation de documents Word dans des pages web à fichier unique.

Le tableau 2 contient des exemples de fichiers-leurres multilingues d’APT32.

Fichiers-leurres ActiveMime

MD5

2017年员工工资性津贴额统计报告.doc
( Rapport statistique 2017 sur les salaires et indemnités du personnel)

5458a2e4d784abb1a1127263bd5006b5

Thong tin.doc
(Informations)

ce50e544430e7265a45fab5a1f31e529

Phan Vu Tutn CV.doc

4f761095ca51bfbbf4496a4964e41d4f

Ke hoach cuu tro nam 2017.doc
(Plan de sauvetage 2017)

e9abe54162ba4572c770ab043f576784

Instructions to GSIS.doc

fba089444c769700e47c6b44c362f96b

Hoi thao truyen thong doc lap.doc
(Jeux traditionnels)

f6ee4b72d6d42d0c7be9172be2b817c1 

Giấy yêu cầu bồi thường mới 2016 - hằng.doc
(Nouveau formulaire de demande 2016)

aa1f85de3e4d33f31b4f78968b29f175

Hoa don chi tiet tien no.doc
(Détails de la dette)

5180a8d9325a417f2d8066f9226a5154

Thu moi tham du Hoi luan.doc
(Liste des participants)

f6ee4b72d6d42d0c7be9172be2b817c1

Danh sach nhan vien vi pham ky luat.doc
(Liste des infractions commises par les salariés)

6baafffa7bf960dec821b627f9653e44

 

Nội-dung-quảng-cáo.doc
(Publicité de contenu interne)

471a2e7341f2614b715dc89e803ffcac

HĐ DVPM-VTC 31.03.17.doc

f1af6bb36cdf3cff768faee7919f0733

Tableau 2 : Exemples de fichiers-leurres d’APT32

Les données ActiveMime codées en Base64 contenaient également un fichier OLE avec des macros malveillantes. Une fois ouverts, de nombreux leurres affichaient de faux messages d’erreur visant à inciter les utilisateurs à activer les macros. La figure 1 montre un faux logo Gmail associé à un code d’erreur hexadécimal qui invite le destinataire à activer le contenu pour résoudre le problème. La figure 2 représente quant à elle un autre leurre d’APT32, basé sur l’image convaincante d’un faux message d’erreur Windows demandant au destinataire d’activer le contenu pour afficher correctement les caractères de la police du document.

Figure 1 : Exemple de leurre de phishing d’APT32 – Faux message d’erreur Gmail

Figure 2 : Exemple de leurre de phishing d’APT32 – Faux message d’erreur d’encodage du texte

Les opérateurs d’APT32 ont également déployé de nouvelles techniques de suivi de l’efficacité de leurs attaques de phishing et de la diffusion de leurs documents infectés, sans oublier des mécanismes de persistance capables de mettre dynamiquement à jour les backdoors injectées dans la mémoire.

Pour le traçage en temps réel des cibles ayant ouvert les messages de phishing, cliqué sur les liens et téléchargé les pièces jointes, APT32 a eu recours aux mêmes applications cloud que celles qu’utilisent généralement les forces de vente. Dans certains cas, APT32 a complètement abandonné les pièces jointes d’e-mails au profit de cette technique de traçage avec des liens vers ses leurres ActiveMime hébergés sur des services légitimes de stockage dans le cloud.

Pour une meilleure visibilité sur la diffusion de ses leurres de phishing, le groupe a eu recours à la fonctionnalité native des pages web de ses documents ActiveMime pour créer des liens vers des images externes hébergées sur une infrastructure sous contrôle d’APT32.

La figure 3 contient un exemple de leurre de phishing avec une balise HTML d’image qu’APT32 utilise comme moyen de traçage supplémentaire.

Figure 3 : Leurre de phishing contenant une balise HTML d’image pour un traçage supplémentaire

Lorsqu’un document muni de cette fonctionnalité est ouvert, Microsoft Word tente de télécharger l’image externe, même en cas de désactivation des macros. Dans tous les leurres de phishing analysés, les images externes n’existaient pas. Les conseillers Mandiant soupçonnent ainsi APT32 d’avoir vérifié tous les logs web afin de traquer l’adresse IP publique utilisée pour appeler les images externes. En conjonction avec ses logiciels de traçage des e-mails, cette technique a permis au groupe de suivre de près la diffusion de ses messages de phishing et leur taux de succès. Il a ensuite effectué des analyses plus poussées des entreprises victimes, tout en gardant un œil sur l’attention éveillée dans les sociétés spécialisées dans la sécurité informatique.

Une fois les macros malveillantes activées, elles ont créé deux tâches planifiées servant de mécanisme de persistance pour deux backdoors installées sur le système cible infecté. La première tâche a lancé un dispositif de contournement de la protection des scripts de whitelisting des applications, afin d’exécuter une scriptlet COM qui téléchargeait en dynamique la première backdoor depuis l’infrastructure d’APT32 pour l’injecter dans la mémoire. La deuxième tâche, chargée sous forme de fichier XML pour falsifier les attributs des tâches, a exécuté un code block JavaScript qui téléchargeait et lançait une backdoor secondaire, sous la forme d’un script PowerShell multi-étape. Dans la plupart des leurres, une tâche planifiée garantissait la persistance d’une porte dérobée spécifique à APT32, tandis que l’autre initialisait une backdoor achetée en renfort.

Pour illustrer la complexité de ces leurres, la figure 4 montre la création des mécanismes de persistance pour le leurre APT32 nommé « 2017年员工工资性津贴额统计报告.doc ».

Figure 4 : Les leurres ActiveMime d’APT32 créent deux tâches planifiées spécifiques

Dans cet exemple, une tâche planifiée nommée « Windows Scheduled Maintenance » a été créée pour exécuter toutes les 30 minutes le dispositif de contournement du whitelisting des applications de Casey Smith nommé « Squiblydoo ». Bien qu’il soit possible de mettre dynamiquement à jour toutes les charges actives, au moment de leur livraison, cette tâche lançait une scriptlet COM (un fichier « .sct ») qui téléchargeait et exécutait Meterpreter, outil hébergé sur images.chinabytes[.]info. Ensuite, Meterpreter chargeait Cobalt Strike Beacon, configuré pour communiquer avec 80.255.3[.]87 à l’aide du profil Safebrowsing Malleable C2, et ce afin de mieux se fondre dans le trafic réseau. Une deuxième tâche planifiée nommée « Scheduled Defrags » a été créée grâce au chargement du fichier XML de tâche brute avec un horodatage de création de tâche antidaté au 2 juin 2016. Celle-ci exécutait « mshta.exe » toutes les 50 minutes, pour l’ouverture d’une backdoor spécifique à APT32 délivrée sous forme de shellcode dans un script PowerShell, configuré pour communiquer avec les domaines blog.panggin[.]org, share.codehao[.]net et yii.yiihao126[.]net.

La figure 5 illustre la chaîne d’événements d’un seul leurre de phishing APT32 qui parvient à injecter en dynamique deux frameworks de malwares multi-étapes dans la mémoire.

Figure 5 : Déroulement d’une attaque de phishing d’APT32

Une fois implanté dans l’environnement de ses victimes, l’impressionnant dispositif du groupe APT32 ne s’est pas arrêté là. Selon plusieurs investigations Mandiant, APT32 a utilisé son accès pour effacer régulièrement des entrées spécifiques de journaux d’événements et masquer au maximum ses outils PowerShell et chargeurs de shellcode à l’aide du framework Invoke-Obfuscation de Daniel Bohannon.

Le groupe a régulièrement recouru à des techniques furtives pour se fondre dans les activités d’utilisateurs légitimes :

  • Une investigation a révélé qu’APT32 utilisait un exploit d’escalade des privilèges (CVE-2016-7255) en le faisant passer pour un correctif logiciel Windows.
  • Au cours d’une autre investigation, APT32 avait compromis l’infrastructure ePO de McAfee. Il propageait ses malwares sous la forme d’une tâche de déploiement logiciel dans laquelle tous les systèmes récupéraient la charge active sur le serveur ePO à l’aide du protocole SPIPE propriétaire.
  • APT32 a également utilisé des caractères masqués ou non imprimables afin de masquer visuellement ses malwares sur un système. Par exemple, le groupe a déjà installé une backdoor sous la forme d’un service persistant avec un nom de service légitime auquel il avait ajouté un espace insécable Unicode. Une autre backdoor s’est appuyée sur un nom de fichier DLL qui, sous une apparence légitime, contenait un code de commande et de contrôle OS non imprimable.

Malwares et infrastructure d’APT32

APT32 semble disposer de vastes capacités de développement et s’appuie sur une suite personnalisée de backdoors couvrant de multiples protocoles. Les opérations du groupe se reconnaissent au déploiement de malwares « maison » comme WINDSHIELD, KOMPROGO, SOUNDBITE et PHOREAL. Il déploie souvent ces backdoors en conjonction avec Cobalt Strike Beacon, une backdoor commercialisée sur le Dark Web. Il est possible qu’APT32 bénéficie également de capacités de développement de backdoor pour MacOS.

Les fonctionnalités de sa suite de malwares sont répertoriées dans le tableau 3.

Malware

Fonctionnalités

WINDSHIELD

  • Communications de commande et de contrôle (C2) via les sockets bruts TCP
  • Quatre systèmes C2 et six ports configurés – C2/port choisi au hasard pour les communications
  • Manipulation de registres
  • Obtention du nom de fichier du module courant
  • Collecte d’informations système, y compris les valeurs des registres, les noms d’utilisateurs, les noms d’ordinateurs et les pages de code courantes
  • Interactions avec le système de fichiers, notamment la création d’annuaires, la suppression, la lecture et l’écriture de fichiers
  • Chargement de modules supplémentaires et exécution de code
  • Interruption de processus
  • Anti-désassemblage

KOMPROGO

  • Backdoor sophistiquée capable de gérer les processus, les fichiers et les registres
  • Création d’un reverse shell
  • Transferts de fichiers
  • Exécution de requêtes WMI
  • Récupération d’informations sur le système infecté

SOUNDBITE

  • Communications C2 via DNS
  • Création de processus
  • Chargement de fichiers
  • Exécution de commandes du shell
  • Énumération/manipulation de fichiers et annuaires
  • Énumération de fenêtres
  • Manipulation de registres
  • Collecte d’informations système

PHOREAL

  • Communications C2 via ICMP
  • Création d’un reverse shell
  • Manipulation des systèmes de fichiers
  • Manipulation de registres
  • Création de processus
  • Chargement de fichiers

BEACON (Cobalt Strike)

  • Charge active disponible dans le domaine public, capable d’injecter et d’exécuter du code arbitraire dans les processus
  • Imitation du contexte sécuritaire des utilisateurs
  • Importation de tickets Kerberos
  • Chargement et téléchargement de fichiers
  • Exécution de commandes de shell
  • Configuration à l’aide des profils Malleable C2 pour se fondre dans le trafic réseau normal
  • Co-déploiement et interopérabilité avec le framework Metasploit
  • Charge active de backdoor en mémoire d’un canal nommé sous protocole SMB, pour les communications C2 P2P et la propagation latérale via SMB

Tableau 3 : Malwares d’APT32 et leurs fonctionnalités

Les opérateurs d’APT32 semblent disposer de vastes ressources et d’une importante plateforme au vu du large éventail de domaines et adresses IP utilisés comme infrastructure de commande et de contrôle. Le portail FireEye iSIGHT Intelligence MySIGHT contient des informations supplémentaires sur ces familles de backdoors, basées sur les investigations Mandiant des intrusions attribuées à APT32.

Par ailleurs, la figure 6 fournit une synthèse des outils et techniques du groupe à chaque étape du cycle de vie d’une attaque.

Figure 6 : Cycle de vie d’une attaque d’APT32

Perspectives et répercussions

Sur la base de ses investigations post-incidents, des activités détectées par ses produits et des informations recueillies par ses observatoires de cyberveille (sans oublier un certain nombre de publications complémentaires), FireEye est parvenu à la conclusion selon laquelle le groupe de cyberespionnage APT32 agit pour le compte du gouvernement vietnamien. Compte tenu du volume d’attaques ciblées à l’encontre d’acteurs du secteur privé, FireEye estime que le groupe représente un risque important pour les entreprises qui opèrent, ou se préparent à investir dans le pays. Bien que les mobiles de chaque intrusion d’APT32 dans des entreprises privées varient – et, dans certains cas, restent inconnus – ces accès non autorisés pourraient donner lieu à des vols de capital intellectuel, voire des mesures anticorruption et de répression qui risquent d’éroder la compétitivité des entreprises ciblées. En outre, APT32 continue de menacer le militantisme politique et la liberté d’expression en Asie du Sud-Est, tout en s’en prenant à des organismes du secteur public du monde entier. Des gouvernements, journalistes et membres de la diaspora vietnamienne risquent encore d’être pris pour cibles.

Bien que les cybercriminels originaires de Chine, d’Iran, de Russie et de Corée du Nord constituent encore le gros de la menace de cyberespionnage traquée et neutralisée par FireEye, APT32 illustre bien l’émergence de nouveaux pays qui ont su reprendre ces méthodes dynamiques à leur compte. L’existence même du groupe démontre l’accessibilité et l’impact potentiel de capacités cybernétiques offensives dotées des investissements et de la flexibilité nécessaires pour intégrer les nouveaux outils et techniques. À l’heure où de plus en plus de pays recourent aux cyberopérations, une arme aussi peu coûteuse que redoutable, il est essentiel de sensibiliser le public à ces menaces et d’alimenter le débat sur l’émergence d’acteurs étatiques hors des terrains traditionnels du secteur public et des services de renseignement.

Détection des activités d’APT32

La figure 7 contient une règle YARA pour l’identification des macros malveillantes associées aux leurres de phishing d’APT32.

Figure 7 : Règle YARA pour les macros malveillantes d’APT32

Le tableau 4 fournit un échantillon de l’infrastructure de commande et de contrôle que FireEye a attribuée à APT32.

Infrastructure C2

103.53.197.202

104.237.218.70

104.237.218.72

185.157.79.3

193.169.245.78

193.169.245.137

23.227.196.210

24.datatimes.org

80.255.3.87

blog.docksugs.org

blog.panggin.org

contay.deaftone.com

check.paidprefund.org

datatimes.org

docksugs.org

economy.bloghop.org

emp.gapte.name

facebook-cdn.net

gap-facebook.com

gl-appspot.org

help.checkonl.org

high.expbas.net

high.vphelp.net

icon.torrentart.com

images.chinabytes.info

imaps.qki6.com

img.fanspeed.net

job.supperpow.com

lighpress.info

menmin.strezf.com

mobile.pagmobiles.info

news.lighpress.info

notificeva.com

nsquery.net

pagmobiles.info

paidprefund.org

push.relasign.org

relasign.org

share.codehao.net

seri.volveri.net

ssl.zin0.com

static.jg7.org

syn.timeizu.net

teriava.com

timeizu.net

tonholding.com

tulationeva.com

untitled.po9z.com

update-flashs.com

vieweva.com

volveri.net

vphelp.net

yii.yiihao126.net

zone.apize.net

Tableau 4 : Échantillon de l’infrastructure C2 d’APT32