L’attaquant a déployé une variante de l’ensemble d’outils de cyberespionnage Plugx précédemment associé aux groupes APT chinois contre une petite entreprise qu’ils ont ensuite infectés par le ransomware mondial de la RA et extorqué pour de l’argent.
Dans un développement intrigant, les chercheurs ont observé un acteur de ransomware utilisant des outils précédemment associés aux efforts de cyberespionnage basés en Chine. Bien que le mélange d’espionnage et d’activités de ransomware soit courant pour les APT nord-coréens, il est inhabituel pour les groupes chinois.
« Le scénario le plus probable est qu’un acteur, peut-être un individu, tentait de gagner de l’argent sur le côté en utilisant la boîte à outils de son employeur », a déclaré des chercheurs de l’équipe Symantec de Broadcom dans un nouveau rapport sur l’incident.
L’attaque a déployé un programme de ransomwares appelé RA World contre une entreprise de logiciels et de services de taille moyenne en Asie du Sud, mais a également utilisé une variante de Plugx qui a été observée l’année dernière dans plusieurs attaques de cyberespionnage contre les cibles géopolitiques: les gouvernements de deux pays d’Europe du Sud-Est, Ministries à partir de deux pays d’Asie du Sud-Est et d’un opérateur de télécommunications de la même région.
Symantec a déclaré dans son rapport qu’un «acteur d’espionnage peut être le clair de lune en tant qu’attaquant mondial de la RA» et qu’il n’est pas clair pourquoi un mauvais acteur lié à l’espionnage monterait également une attaque de ransomware.
«Bien que cela ne soit pas inhabituel pour les acteurs de la menace nord-coréenne de s’engager dans des attaques motivées par la finance pour subventionner leurs opérations, il n’y a pas d’histoire similaire pour les acteurs de la menace d’espionnage basés en Chine, et il n’y a aucune raison évidente pour laquelle ils poursuivraient cette stratégie.»
Les groupes de ransomwares (ceux qui développent le malware et exécutent le site de fuite de données et le site de négociation / service de chat) travaillent régulièrement avec des affiliés qui effectuent le piratage réel, les données exfiltrates, déploient le ransomware, puis obtiennent une réduction de la rançon en cas de succès – généralement La plus grande partie de la rançon. Ainsi, l’attaquant aurait pu être un affilié, quelqu’un qui fait partie d’un groupe approprié qui réalise le cyber-espionnage mais qui a également décidé de travailler pour que RA World gagne de l’argent à côté – du moins c’est l’une des théories de Symantec.
L’ensemble d’outils de cyber-espionnage Plugx
Plugx lui-même est un cheval de Troie à distance qui est en développement depuis 2008 et est utilisé par de nombreux groupes APT parrainés par l’État chinois au fil des ans. Ce n’est pas inhabituel car le partage de plats d’outils est un attribut connu des efforts de cyberespionnage chinois. Cependant, Plugx n’est pas considéré comme des logiciels malveillants accessibles au public et est exclusivement utilisé par les APT chinois.
La variante Plugx particulière, ou plug-in, qui a été observée avec Ransomware par Symantec, a déjà été liée par des chercheurs de Palo Alto Networks et Trend Micro à un groupe de chinois APT suivi dans l’industrie en tant que Mustang Panda, Earth Preta, Fireant, ou pkplug.
Lors des attaques de cyberespionnage passées, cette porte dérobée a été livrée à l’aide d’un exécutable Toshiba légitime appelé Toshdpdb.exe qui a mis à côté une DLL malveillante appelée Toshdpapi.dll. Cette technique est connue sous le nom de détournement de DLL ou d’élevage et exploite le comportement de certaines applications légitimes qui recherchent des fichiers DLL particulièrement nommés à partir du même répertoire que le processus parent. La DLL Rogue a ensuite extrait, déchiffré et chargé une charge utile à partir d’un fichier appelé toshdp.dat qui s’est avéré être la variante Plugx.
L’attaquant a exigé une rançon de 2 millions de dollars
L’attaque qui a abouti au déploiement du programme RA World Ransomware, ainsi qu’à l’exfiltration de données, avait la même chaîne: le chargement toshdpdb.exe chargeant toshdpapi.dll alors décryptant Toshdp.dat qui a entraîné le déploiement de la variante Plugx. La différence est que l’attaquant a ensuite choisi de déployer le ransomware mondial de la RA et de demander une rançon de 2 millions de dollars.
« Bien qu’aucun vecteur d’infection n’a été trouvé, l’attaquant a affirmé plus tard que le réseau de la cible avait été compromis en exploitant une vulnérabilité connue dans le logiciel de pare-feu Pan-OS de Palo Alto (CVE-2024-0012) », ont déclaré les chercheurs de Symantec. « L’attaquant a ensuite déclaré que les informations d’identification administratives avaient été obtenues auprès de l’intranet de l’entreprise avant de voler les informations d’identification Cloud Amazon S3 à son serveur Veeam, en les utilisant pour voler des données de ses seaux S3 avant de crypter les ordinateurs. »
RA World, à l’origine connu sous le nom de RA Group, est une opération de ransomware qui est apparue pour la première fois en 2023 et qui a augmenté régulièrement depuis lors. Le groupe a ciblé des organisations des États-Unis, de l’Europe et de l’Asie du Sud-Est, les États-Unis voyant le plus grand nombre de victimes.
Sur la base d’une analyse des réseaux Palo Alto des victimes entre la mi-2023 et la mi-2024, le secteur manufacturier a été le plus touché, suivi par le transport et la logistique, le gros et le commerce de détail, l’assurance, la pharmacie et les soins de santé.
Les tactiques apt et cybercrimins sont généralement incompatibles
Le mélange des activités de cyberespionnage et de ransomware n’est pas inconnu, mais c’est un événement rare car ces opérations ont généralement des objectifs concurrents qui nécessitent des approches différentes. L’objectif du cyber-espionnage est la collecte de renseignements, donc rester non détecté dans le réseau de la victime aussi longtemps que possible est une priorité. Pendant ce temps, la partie de chiffrement des données des attaques de ransomwares est très visible, ce qui donne immédiatement la présence de l’attaquant.
Cependant, il y a eu des cas où des agences de renseignement ont contracté ou forcé des pirates privés à faire leurs enchères en échange d’une protection contre les poursuites ou d’autres privilèges. Cela a entraîné des cas où certains groupes de menaces semblaient se livrer à la fois dans le cyberespionnage et les délits financiers. Et même si ces opérations ont été maintenues séparées, il y a eu un chevauchement inévitable des ensembles d’outils et des tactiques.
Par exemple, APT41, également connu sous le nom de Winnti, Axiom, Barium ou Wicked Panda, est l’un des plus anciens groupes de cyberespionnage chinois avec ses activités d’intrusion datant de 2007. Pendant longtemps, ce groupe a opéré à partir d’une entreprise avant appelée CHENGDU 404 Network Technology Company qui, selon les experts en sécurité, a agi en tant qu’entrepreneur pour le ministère de la Sécurité des États chinois et l’Armée populaire de libération.
La Chine cherche généralement des renseignements tandis que la Corée du Nord a des motifs financiers
Bien que le ciblage du groupe suit souvent les intérêts de la collecte géopolitique et des renseignements de la Chine, il a également été responsable des attaques motivées financières principalement contre l’industrie des jeux en ligne. Plusieurs ressortissants chinois qui sont soupçonnés de membres de l’APT41 ont été inculpés aux États-Unis en 2019 et 2020 et figurent sur la liste la plus recherchée du FBI.
Les groupes APT gérés par l’État nord-coréen se livrent régulièrement à des activités de cybercriminalité et ont volé des milliards de dollars en crypto-monnaie et se sont engagés dans des transferts de fil frauduleux au fil des ans. Ils ont également développé et déployé des ransomwares. Ce sont des méthodes typiques de financement du régime à Pyongyang, qui est depuis longtemps sous sanctions économiques.
La Russie est un autre pays ayant des antécédents d’agences de renseignement travaillant avec des pirates civils et des éléments de cybercrimins, une tendance qui s’est intensifiée ces dernières années après son invasion de l’Ukraine. Microsoft a rapporté l’année dernière que le gouvernement russe semble avoir externalisé certaines opérations de cyberespionnage et de sabotage dans des groupes de cybercriminaux.
