Le malware Waterbear utilisé dans une vague d’attaques contre Taïwan

Spread the love
Le malware Waterbear utilisé dans une vague d'attaques contre Taïwan

Taiwan fait actuellement les frais d’une campagne de cyberattaques massive. Selon des chercheurs en cybersécurité, une campagne du virus Waterbear vise actuellement l’administration taïwanaise. Comme l’indiquent les chercheurs de CyCraft, les attaques ont eu lieu en avril 2020, mais le groupe de menace a exploité des logiciels malveillants déjà présents sur des serveurs compromis – en raison d’attaques passées – afin de déployer des logiciels malveillants.

Le virus Waterbear a déjà été associé à BlackTech, un groupe de cyberattaques qui attaque généralement des entreprises technologiques et des entités gouvernementales à Taïwan, au Japon ainsi qu’à Hong Kong. Les chercheurs de Trend Micro affirment que le malware modulaire est principalement « utilisé pour le mouvement latéral, le décryptage et le déclenchement de charges utiles avec son composant de chargement ». L’année dernière, le malware Waterbear a suscité l’intérêt du secteur de la cybersécurité après avoir mis en place le hook API pour dissimuler ses activités en abusant des produits de sécurité.

Lors de la dernière vague ayant touché Taïwan,les chercheurs de CyCraft indiquent qu’une vulnérabilité a été exploitée dans un outil commun et fiable de prévention des pertes de données (DLP) afin de charger Waterbear. La tâche a été facilitée par le fait que les logiciels malveillants restants des précédentes attaques sur les mêmes cibles n’avaient pas été totalement éradiqués.

publicité

Différentes techniques de détournement

Les attaquants ont été traqués lors de tentatives d’utilisation d’identifiants volés pour accéder à un réseau cible. Dans certains cas, les points d’extrémité étaient encore compromis par des attaques antérieures, ce qui a permis d’accéder au réseau interne de la victime et d’établir secrètement une connexion avec le serveur de commande et de contrôle (C2) du groupe. Une vulnérabilité de l’outil DLP a ensuite été utilisée pour effectuer un détournement de DLL. Comme le logiciel n’a pas pu vérifier l’intégrité des DLL qu’il chargeait, le fichier malveillant a été lancé avec un niveau de privilège élevé.

Ce DLL a ensuite injecté un shellcode dans divers services du système Windows, permettant au malware Waterbear de déployer des paquets malveillants supplémentaires. Une autre facette intéressante du chargeur est la “résurrection” d’une technique d’évasion antivirus vieille de dix ans, selon les chercheurs.

Connue sous le nom de “Heaven’s Gate”, cette technique de détournement est utilisée pour tromper les systèmes d’exploitation Microsoft Windows afin qu’ils exécutent du code 64 bits, même lorsqu’ils sont déclarés comme un processus 32 bits. Cette technique peut ensuite être utilisée pour contourner les moteurs de sécurité et injecter du shellcode.

Des mécanismes d’analyse différents

« Tout comme les programmes 64 bits et 32 bits sont très différents, les mécanismes d’analyse le sont aussi. Les logiciels malveillants équipés de Heaven’s Gate contiennent à la fois des parties 64 bits et 32 bits », explique l’équipe de Cycraft. « Par conséquent, certains systèmes de surveillance/analyse n’appliqueront que l’analyse 32 bits et échoueront la partie 64 bits ; ainsi, cette approche brisera certains mécanismes de surveillance/analyse. »

Pour faire échouer les tentatives d’analyse, le malware Waterbear utilisera également le cryptage RC4 sur sa charge utile principale et « le contenu du pad [et de la mémoire] du Kernel32.dll devant et derrière le shellcode ». La taille du binaire du malware a également été gonflée pour tenter de contourner les scanners de fichiers. En août, l’équipe de CyCraft a déclaré aux participants virtuels de Black Hat USA qu’un groupe chinois de menace persistante avancée (APT) a frappé les systèmes des fabricants de puces taïwanais.

Des informations et des biens d’entreprise sensibles, notamment des conceptions de semi-conducteurs, des codes sources et des kits de développement logiciel (SDK), ont été volés lors d’« attaques précises et bien coordonnées » en 2018 et 2019. Au moins sept fournisseurs distincts ont été la proie du groupe.

Source : ZDNet.com

Leave a Reply