Les attaquants ont détourné les processus de mise à niveau de REDCap pour implanter des logiciels malveillants et espionner les réseaux de recherche universitaire, de santé et de défense.
Google met en garde contre une campagne de cyberespionnage liée à un acteur menaçant lié à la Chine, UNC6508, qui a surveillé de près les précieux environnements de recherche américains et canadiens pendant plus d’un an.
La campagne a abusé de REDCap, une plateforme largement adoptée pour collecter et gérer des données de recherche. Les attaquants, désormais perturbés, ont intercepté le processus de mise à niveau de REDCap pour injecter des logiciels malveillants persistants.
Selon le Threat Intelligence Group (GTIG) de Google, la campagne s’intéressait particulièrement aux institutions universitaires, aux centres de recherche médicale, aux prestataires de soins de santé, aux réseaux de santé militaires et aux programmes de recherche axés sur la défense.
Google a déclaré que l’UNC6508 infectait historiquement les anciennes versions de REDCap, et que la campagne observée ne faisait que s’appuyer sur ce compromis initial pour pousser le code à des fins de persistance.
« GTIG n’a pas été en mesure de confirmer comment UNC6508 a initialement accédé au serveur REDCap », ont déclaré les chercheurs de GTIG dans un article de blog. « De par sa conception, REDCap permet aux administrateurs de continuer à exécuter les logiciels existants côte à côte avec la version actuelle. UNC6508 a été observé en recherchant ces versions héritées vulnérables sur les systèmes REDCap de plusieurs organisations cibles. »
Le groupe parrainé par l’État recherchait un large éventail d’informations sensibles en matière de recherche et de défense, couvrant la sécurité nationale, l’IA, les cyber-opérations et la recherche médicale.
La plateforme de recherche est devenue la porte d’entrée
Outre la persévérance, la campagne a soutenu la découverte d’informations d’identification, la reconnaissance interne et les opérations post-compromis.
UNC6508 utilisait une charge utile identifiée comme INFINITERED, un malware modulaire conçu pour pirater les fichiers système REDCap légitimes. Le malware comporte trois composants dédiés : un dropper et une mise à niveau d’interception, un collecteur d’informations d’identification et une porte dérobée avec commande et contrôle (c2).
Le module d’interception de mise à niveau lit les anciennes versions de REDCap encore accessibles sur certains déploiements REDCap actuels, déjà infectées par une logique malveillante via un accès initial inconnu, et extrait la logique malveillante de cette version. Il injecte ensuite ce code dans le fichier système de mise à niveau.
Parallèlement, les deux autres modules injectent respectivement le code du collecteur d’informations d’identification dans le fichier du système d’authentification et le code de la porte dérobée dans le fichier de configuration des hooks personnalisés.
« Après avoir pris pied sur le serveur REDCap, UNC6508 a effectué une reconnaissance interne et une découverte des informations d’identification pour obtenir les informations d’identification de la base de données et du compte de service », ont déclaré les chercheurs du GTIG dans un article de blog. « L’acteur malveillant a également déployé un shell Web nommé « help.php », qui a maintenu la persistance et a fonctionné comme un téléchargeur dans l’application REDCap. »
La porte dérobée prend en charge une gamme de commandes à distance qui permettent aux opérateurs de gérer des fichiers, d’exécuter des commandes shell, de collecter des informations système et de garder le contrôle sur les serveurs REDCap compromis, fournissant ainsi à l’UNC6508 une riche boîte à outils post-compromise.
Rechercher et supprimer INFINITERED
Étant donné qu’INFINITERED s’intègre dans le flux de travail de mise à niveau de REDCap et modifie les fichiers d’application légitimes, les organisations sont encouragées à inspecter les environnements REDCap pour détecter les modifications de fichiers non autorisées, les shells Web inattendus et les signes d’activité de collecte d’informations d’identification à l’aide de la règle YARA fournie par GTIG.
Google recommande également de mettre à niveau les déploiements REDCap vulnérables, de vérifier les anciennes versions qui restent accessibles parallèlement aux installations actuelles et de valider l’intégrité des fichiers d’application avant et après les mises à niveau. L’application d’une vérification en deux étapes résistante au phishing, d’informations d’identification de session liées à l’appareil et de règles DLP pertinentes a également été recommandée pour des contrôles plus stricts.
Google a déclaré avoir informé plusieurs organisations aux États-Unis et au Canada qui, selon lui, étaient compromises par INFINITERED, et proposé une assistance pour y remédier.
