Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

APT37 hackers use new malware to breach air-gapped networks

4 minute de lecture

Mis à jour :

Les hackers nord-coréens d’APT37 contournent les réseaux isolés grâce à de nouveaux outils

Des cybercriminels nord-coréens, identifiés comme APT37 (également connus sous les noms de ScarCruft, Ricochet Chollima et InkySquid), utilisent une nouvelle campagne malveillante nommée “Ruby Jumper” pour infiltrer des systèmes informatiques isolés (“air-gapped”). Ces réseaux, déconnectés d’Internet et des réseaux externes pour des raisons de sécurité critique (infrastructures, militaire, recherche), sont normalement protégés contre les intrusions directes.

La campagne repose sur un ensemble de cinq outils malveillants : RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK et FOOTWINE. L’infection débute par l’ouverture d’un fichier raccourci malveillant (.LNK) qui exécute un script PowerShell. Ce script, conçu pour détourner l’attention, lance un document leurre (ici, une traduction en arabe d’un article de journal nord-coréen sur le conflit israélo-palestinien) tout en déployant le premier composant, RESTLEAF.

RESTLEAF établit une communication avec l’infrastructure de commande et contrôle (C2) d’APT37 via Zoho WorkDrive, puis télécharge SNAKEDROPPER. Ce dernier installe un environnement d’exécution Ruby, déguisé en utilitaire USB, et modifie un fichier de configuration pour s’exécuter automatiquement via une tâche planifiée.

Les backdoors THUMBSBD et VIRUSTASK sont ensuite installées. THUMBSBD est capable de collecter des informations système, de préparer des données pour l’exfiltration et, de manière cruciale, de créer des répertoires cachés sur des clés USB pour y copier des fichiers. Il transforme ainsi les supports amovibles en un “relais C2 bidirectionnel et caché”, permettant à la fois d’envoyer des commandes aux systèmes isolés et d’en extraire des données. VIRUSTASK, quant à lui, arme les lecteurs USB en remplaçant des fichiers légitimes par des raccourcis malveillants qui exécutent l’interpréteur Ruby lorsqu’ils sont ouverts, propageant l’infection à de nouvelles machines isolées, à condition qu’elles disposent d’au moins 2 Go d’espace libre.

Parallèlement, THUMBSBD déploie FOOTWINE, un logiciel espion déguisé en fichier Android (APK). Ce dernier est capable d’enregistrer les frappes au clavier, de capturer des captures d’écran, d’enregistrer l’audio et la vidéo, de manipuler des fichiers, d’accéder au registre et d’exécuter des commandes shell à distance. Le malware BLUELIGHT, précédemment associé à APT37, a également été observé dans cette campagne.

L’attribution de cette campagne à APT37 est fortement étayée par l’utilisation de BLUELIGHT, l’exploitation des fichiers .LNK, la technique de livraison de shellcode en deux étapes, et l’infrastructure C2 typique de ce groupe. Le contenu du document leurre suggère également que les cibles s’intéressent aux récits médiatiques nord-coréens, un profil correspondant à celui de ce groupe de menaces.

Points Clés :

  • Exploitation des réseaux isolés : APT37 a développé de nouveaux outils pour franchir la barrière physique et logique des réseaux “air-gapped”.
  • Utilisation de supports amovibles : Les clés USB servent de canal principal pour la propagation et la communication bidirectionnelle entre les systèmes infectés et les attaquants.
  • Techniques d’obfuscation : Utilisation de fichiers .LNK, de documents leurres, et déguisement des composants malveillants sous des noms d’utilitaires légitimes ou des fichiers d’exécution Ruby.
  • Capacités de surveillance avancées : La suite d’outils permet la collecte d’informations, l’exfiltration de données, l’enregistrement d’activités (clavier, écran, audio, vidéo) et le contrôle à distance des systèmes compromis.
  • Attribution forte à APT37 : Basée sur des indicateurs techniques et comportementaux spécifiques au groupe.

Vulnérabilités exploitées (non spécifiées par CVE, mais plutôt des vecteurs d’attaque) :

  • Ouverture de fichiers .LNK malveillants : Point d’entrée initial de la chaîne d’infection.
  • Élévation de privilèges via des tâches planifiées : Utilisée pour assurer l’exécution persistante des composants malveillants.
  • Interactions avec des supports amovibles : La manière dont les systèmes gèrent les clés USB et leur contenu, permettant l’exécution automatique de code.
  • Exécution de code arbitraire via des environnements d’exécution (Ruby) : Contournement des défenses en se faisant passer pour des composants logiciels légitimes.

Recommandations :

  • Sensibilisation et formation : Éduquer les utilisateurs sur les risques liés à l’ouverture de fichiers suspects et à l’utilisation de supports amovibles inconnus.
  • Contrôle strict des supports amovibles : Mettre en place des politiques rigoureuses pour l’utilisation et l’analyse des clés USB et autres périphériques de stockage dans les environnements sensibles.
  • Surveillance réseau et comportementale : Déployer des outils capables de détecter des communications inhabituelles, des activités suspectes sur les points d’accès aux réseaux isolés et des transferts de données anormaux.
  • Gestion des correctifs et mises à jour : Bien que les réseaux isolés soient moins exposés aux mises à jour directes, il est crucial de maintenir à jour les logiciels sur les systèmes gérant les interactions avec ces réseaux.
  • Segmenter les réseaux : Même au sein des infrastructures isolées, une segmentation plus fine peut limiter la propagation latérale en cas d’infection.
  • Analyse approfondie des fichiers entrants : Utiliser des solutions d’analyse de sécurité avancées pour inspecter le contenu des supports amovibles avant leur utilisation dans des environnements critiques.

Source

Vous pourriez aimer