Les chercheurs ont attribué des grappes séparées d’activité malveillante précédemment suivie à un seul groupe qui a augmenté ses tactiques cette année, ajoutant des arrière-ores Microsoft IIS précédemment sans papiers à son arsenal.
Les chercheurs ont documenté un acteur de menace auparavant inconnu qui s’aligne sur les intérêts de la collecte de renseignements de la Chine. Le groupe cible principalement le gouvernement et les organisations de télécommunications d’Afrique, du Moyen-Orient et d’Asie dans le but de maintenir un accès secret à long terme aux systèmes critiques.
Au cours des deux dernières années, des chercheurs de Palo Alto Networks ont étudié des grappes distinctes d’activités malveillantes qui ont maintenant été attribuées au même groupe: Phantom Taurus. Auparavant, la société a suivi ces attaques sous des noms temporaires, tels que CL-Sta-0043, TGR-Sta-0043, ou Operation Diplomatic Spectre.
« Nos observations montrent que les principaux domaines d’intervention des principaux Taurus comprennent les ministères des affaires étrangères, les ambassades, les événements géopolitiques et les opérations militaires », ont écrit les chercheurs dans leur nouveau rapport. «L’objectif principal du groupe est l’espionnage. Ses attaques démontrent la furtivité, la persistance et la capacité d’adapter rapidement leurs tactiques, techniques et procédures (TTPS).»
Une partie de la vaste ensemble d’outils du groupe d’outils de logiciels malveillants développés sur mesure comprend une suite de trois déambulations précédemment sans papiers pour les serveurs Web de Microsoft Internet Information Services (IIS) que les chercheurs ont surnommé Net-Star. D’autres outils incluent des implants de script de base visuels en mémoire, une famille de logiciels malveillants appelée Spectre qui comprend le programme de tunneling DNS TunnelsPecter et SweetSpecter à distance, Agent Racoon, Plugx, GH0st Rat, China Chopper, Mimikatz, Impackeet et de nombreux autres outils d’administration du système à double usage.
Un changement de tactique
Auparavant, Phantom Taurus s’est concentré sur la récolte des boîtes aux lettres d’intérêt des serveurs d’échange qui ont été compromis à l’aide de vulnérabilités connues telles que Proxylogon (CVE-2021-26855) et Proxyshell (CVE-2021-34473). Mais cette année, les chercheurs ont remarqué que les attaquants avaient commencé à rechercher et à extraire des données des bases de données SQL.
Le groupe utilise l’outil Windows Management Instrumentation (WMI) pour exécuter un script appelé mssq.bat qui se connecte à une base de données SQL à l’aide du sa (Administrateur système) ID avec un mot de passe précédemment obtenu par les attaquants. Il effectue ensuite une recherche dynamique de mots clés spécifiques spécifiés dans le script, enregistrant les résultats en tant que fichier CSV.
« L’acteur de menace a utilisé cette méthode pour rechercher des documents d’intérêt et des informations liées à des pays spécifiques tels que l’Afghanistan et le Pakistan », ont déclaré les chercheurs.
Suite de logiciels malveillants net-star
Un ajout nouvellement découvert au jeu d’outils de Phantom Taurus cette année est un ensemble de déchets Web conçus pour interagir avec les serveurs Web IIS.
Le composant principal, appelé iiservercore, fonctionne à la mémoire du processus de travail W3wp.exe IIS et est capable de charger d’autres charges utiles sans fidèle directement dans la mémoire, en exécutant des commandes arbitraires et des arguments en ligne de commande.
« Le composant initial d’Iiservercore est un shell Web ASPX nommé Outloink.aspx », ont écrit les chercheurs. «Ce shell web contient un binaire compressé Base64 embarqué, la porte dérobée Iiservercore. Lorsque le shell Web s’exécute, il charge la porte dérobée dans la mémoire du w3wp.exe Processus et invoque la méthode d’exécution, qui est la fonction principale d’Iiservercore. »
Un autre composant, appelé AssemblyExEcuter V1, est conçu pour exécuter des bytecode d’assemblage .NET en mémoire, tandis que la version améliorée, AssemblyExEcuter V2, est capable de contourner l’interface de balayage antimalware (AMSI) et le traçage des événements pour Windows (ETW).
« La structure du code apparemment bénigne du composant entraîne un minimum de déclin des moteurs antivirus sur Virustotal, au moment de la rédaction de cet article », ont déclaré les chercheurs. «Cela démontre une technique que les acteurs de menace peuvent utiliser pour créer des outils qui évitent le code manifeste, que les systèmes de détection peuvent interpréter comme malveillants.»
Phantom Taurus utilise des infrastructures opérationnelles APT associées dans le passé exclusivement à d’autres acteurs de menace chinois, tels que Iron Taurus (AKA APT27), Starchy Taurus (aka winnti) et taureau majestueux (AKA Mustang Panda). Cependant, les composants d’infrastructure spécifiques utilisés par Phantom Taurus n’ont pas été observés avec les autres groupes, ce qui suggère qu’il s’agit d’un groupe distinct qui compartimente ses opérations.
