Home » Nouvelles » Des virus invisibles aux EDR : comment êtes-vous piratés ?
Nouvelles

Des virus invisibles aux EDR : comment êtes-vous piratés ?

by Nouvelles

Un groupe de cyberespionnage sophistiqué utilise des techniques avancées pour infiltrer les systèmes et échapper à la détection. Son approche discrète consiste à utiliser des utilitaires Windows légitimes pour exécuter des charges malveillantes, ce qui rend difficile la détection de sa présence par les solutions de détection et de réponse des terminaux (EDR) et Microsoft Defender.

Cette analyze technique détaille comment ce groupe infiltre les machines, augmente les privilèges, maintient la persistance et vole des données sensibles tout en évitant les défenses de cybersécurité. Ce groupe est reconnu pour ses activités de cyberespionnage, ciblant principalement les entités gouvernementales et les organisations de la région Asie-Pacifique (APAC). Ses opérations ont évolué avec le temps, employant des techniques avancées pour infiltrer les systèmes, échapper à la détection et maintenir un accès prolongé aux réseaux compromis.

Évolution des techniques

Table of Contents

Ce groupe a constamment fait évoluer ses tactiques pour améliorer sa capacité d’infiltration et de persistance dans les réseaux compromis.

Depuis 2022, le groupe utilise des courriels de spear-phishing comme principal vecteur d’attaque. Ces courriels incluent des liens vers des fichiers malveillants hébergés sur des plateformes comme Google Drive, généralement compressés aux formats RAR, ZIP ou JAR. une fois exécutés, ces fichiers déploient des logiciels malveillants, permettant aux attaquants d’établir un point d’accès au sein du système.

Dans des campagnes ultérieures, le groupe a élargi son arsenal avec de nouvelles méthodes de propagation, comme l’utilisation d’un ver malveillant pour diffuser ses charges via des dispositifs de stockage amovibles (USB). Cette méthode permet au logiciel malveillant de se propager même dans les réseaux restreints avec des contrôles de sécurité stricts sur le courrier électronique.

Le ver avait plusieurs caractéristiques avancées :

Installation persistante sur le système infecté.
 Création d’entrées dans le registre Windows pour s’exécuter automatiquement.
Modification des configurations du système pour masquer sa présence et rendre sa détection plus difficile.

Profil des objectifs et motivation

Ce groupe a démontré une grande flexibilité dans la sélection de ses objectifs, maintenant une approche diversifiée :

Entités gouvernementales
Institutions académiques et de recherche
 Organisations non gouvernementales (ONG) et fondations

Bien que ses opérations aient une portée globale, il a montré un intérêt particulier pour la région Asie-Pacifique (APAC). Son principal objectif est l’acquisition d’informations sensibles, de propriété intellectuelle et de données stratégiques qui pourraient être utilisées à des fins géopolitiques.

Lors de campagnes en 2022, ce groupe a attaqué des organismes gouvernementaux liés aux relations internationales pour obtenir des renseignements sur les développements géopolitiques. Dans des campagnes plus récentes, le groupe a élargi son champ d’action à des secteurs tels que les opérations maritimes, le transport, le contrôle des frontières et l’immigration. Ce changement suggère un réalignement stratégique basé sur des événements mondiaux et des besoins émergents en matière de renseignement.

Étape 1 : Compromission initiale – Phishing ciblé avec pièces jointes malveillantes

L’un des principaux vecteurs d’attaque de ce groupe est le phishing ciblé. Les attaquants envoient des courriels avec une pièce jointe infectée, généralement au format RAR, ZIP ou JAR. Ces fichiers compressés contiennent un exécutable qui se déguise en PDF (par exemple, Rapport.pdf.exe), incitant les utilisateurs à l’ouvrir.

Pourquoi un EDR ou Defender pourrait ne pas détecter cela ?

Logiciel malveillant polymorphe : La charge malveillante change constamment pour échapper à la détection basée sur les signatures. Astuce avec les extensions de fichier : De nombreux outils de sécurité dépendent des extensions pour classer les fichiers comme malveillants, et les extensions doubles les contournent souvent.
Aucun exploit nécessaire : L’attaque repose sur l’ingénierie sociale plutôt que sur les vulnérabilités logicielles, ce qui la rend plus difficile à détecter.

Étape 2 : Établir la persistance – Se cacher dans les processus du système

Une fois exécuté, le logiciel malveillant assure sa survie après les redémarrages et les analyses de sécurité en se cachant dans les processus Windows légitimes.

Exemple : Utilisation de MAVInject.exe pour l’injection de code

MAVInject.exe est un utilitaire Windows légitime qui permet d’injecter du code dans les processus en cours d’exécution.
Ce groupe injecte son logiciel malveillant dans waitfor.exe, un processus natif de Windows, permettant au logiciel malveillant de s’exécuter discrètement.

Pourquoi un EDR ou Defender pourrait ne pas détecter cela ?

L’injection dans les processus évite la détection de l’exécution directe.
MAVInject.exe est un outil signé par Microsoft, il est donc considéré comme fiable.
 Il n’y a pas d’activité suspecte dans les journaux, car waitfor.exe semble fonctionner normalement.

Étape 3 : Augmentation des privilèges – Contourner le contrôle de compte d’utilisateur (UAC)

Pour obtenir des privilèges d’administrateur, ce groupe exploite les fonctionnalités d’auto-élévation de Windows pour contourner l’UAC.

Exemple : Exploitation de Fodhelper.exe

Le logiciel malveillant modifie le registre pour que fodhelper.exe exécute sa charge avec des privilèges élevés.
 L’attaquant exécute : REG ADD HKCUSoftwareClassesms-settingsshellopencommand /ve /t REGSZ /d "C:maliciouspayload.exe" /f fodhelper.exe
Windows exécute la charge avec les autorisations d’administrateur.

Pourquoi un EDR ou Defender pourrait ne pas détecter cela ?

Fodhelper.exe est un binaire Windows fiable.
Il n’y a pas d’exploit direct,seulement des modifications dans le registre.
 L’exécution du processus semble normale.

Étape 4 : Installation d’une porte dérobée – Déploiement de TONESHELL

Après avoir obtenu des privilèges élevés, l’attaquant installe TONESHELL, une porte dérobée qui fournit un accès à distance persistant au système compromis.

Exemple : Chargement de DLL malveillante via une submission de confiance

Ce groupe place une DLL malveillante (TONESHELL.dll) dans le dossier d’un logiciel de confiance, tel qu’un program de mise à jour d’Electronic Arts.
 Lorsque le fichier légitime Updater.exe est exécuté,il charge automatiquement la DLL malveillante,activant la porte dérobée.

Pourquoi un EDR ou Defender pourrait ne pas détecter cela ?

Les EDR analysent principalement les exécutables, pas les DLL.
 Le logiciel légitime lance l’attaque, évitant les alertes.
TONESHELL communique avec les serveurs de commande et de contrôle (C&C) en utilisant un trafic chiffré.

Étape 5 : obtention du contrôle à distance – exécution de commandes via le serveur C&C

Une fois à l’intérieur, l’attaquant contrôle la machine infectée à distance.

Exemple : Envoi de commandes depuis un serveur C&C

  1. Le système compromis se connecte à : hxxp://serveur-malveillant.com/control
  2. L’attaquant obtient les détails du système : tasklist /v
  3. Ils exécutent des transferts de fichiers : copy C:UsersvictimeDocumentssecret.docx C:Temp
  4. Pour exécuter plus de logiciels malveillants : start C:Tempstealer.exe

Pourquoi un EDR ou Defender pourrait ne pas détecter cela ?

Les communications C&C chiffrées évitent les détections dans les pare-feu.
Les commandes ressemblent à des activités normales du système.
 Les attaquants utilisent des domaines compromis pour éviter les listes noires.

Comment se défendre contre ce groupe

✅ Surveiller les injections dans les processus ✅ Détecter les chargements inhabituels de DLL ✅ Inspecter le trafic DNS pour détecter les anomalies ✅ Restreindre PowerShell et MAVInject.exe ✅ Former les employés contre les attaques de phishing

Ce groupe est un groupe APT discret, mais les organisations peuvent se défendre grâce à une surveillance avancée du comportement et à des contrôles de sécurité sur le réseau.

Attaque APT Sophistiquée : Analyze Technique et Mesures de Défense

Un groupe de cyberespionnage sophistiqué cible les entités gouvernementales et les organisations de la région Asie-Pacifique (APAC), utilisant des techniques avancées pour infiltrer discrètement les systèmes et voler des données sensibles.Ce rapport détaille ses méthodes d’attaque et propose des mesures de défense.

Évolution des Techniques d’infiltration

Ce groupe a constamment adapté ses tactiques depuis 2022 :

2022 : Spear-phishing via des emails contenant des fichiers malveillants (RAR, ZIP, JAR) hébergés sur des plateformes comme Google Drive.

Campagnes ultérieures : Utilisation d’un ver malveillant se propageant via des clés USB, contournant les protections email. Ce ver assure une installation persistante, se masque dans le registre Windows et modifie les configurations système.

Profil des Cibles et Motivations

Le groupe cible :

Entités gouvernementales

Institutions académiques et de recherche

ONG et fondations

Son objectif principal est l’acquisition d’informations sensibles (renseignements géopolitiques, propriété intellectuelle, données stratégiques) dans la région APAC, avec un intérêt croissant pour les secteurs maritimes, transport, contrôle des frontières et immigration.

Déroulement de l’Attaque (en 5 étapes)

| Étape | Méthode | outil/Technique | Pourquoi EDR/Defender pourrait ne pas détecter |

|———————-|——————————————–|——————————|—————————————————|

| 1. Compromission Initiale | Phishing ciblé avec pièces jointes malveillantes (ex : Rapport.pdf.exe) | Ingénierie sociale, extensions de fichiers doubles | Logiciel malveillant polymorphe, pas d’exploit direct |

| 2.Persistance | Injection de code dans des processus légitimes | MAVInject.exe dans waitfor.exe | Utilisation d’un utilitaire signé Microsoft, absence d’activité suspecte dans les journaux |

| 3. Augmentation des Privilèges | Exploitation de fodhelper.exe | Modification du registre Windows | Utilisation d’un binaire Windows légitime, pas d’exploit direct |

| 4. Installation d’une Porte Dérobée | Chargement de DLL malveillante (TONESHELL.dll) via un logiciel légitime | Submission de confiance (ex: logiciel de mise à jour) | Analyse principalement des exécutables, pas des DLL, trafic chiffré |

| 5. Contrôle à Distance | Dialog C&C chiffrée | Commandes via hxxp://serveur-malveillant.com/control | Communications chiffrées, commandes ressemblant à des activités normales |

Comment se Protéger

Surveiller les injections de processus

Détecter les chargements inhabituels de DLL

Inspecter le trafic DNS pour détecter des anomalies

Restreindre PowerShell et MAVInject.exe

Former les employés contre le phishing

Une surveillance avancée du comportement et des contrôles de sécurité réseau sont essentiels pour se défendre contre ce type d’attaque APT.

FAQ

Q : Quelles sont les principales techniques utilisées par ce groupe ?

R : Phishing ciblé,injection de code,elevation de privilèges via le registre,chargement de DLL malveillantes via des logiciels légitimes,et communication C&C chiffrée.

Q : Pourquoi ce groupe est-il difficile à détecter ?

R : Il utilise des outils légitimes, du code polymorphe, le chiffrement et des techniques d’ingénierie sociale sophistiquées.

Q : Quelles sont les mesures de défense les plus efficaces ?

R : Surveillance du comportement,analyse approfondie des fichiers,contrôle d’accès strict,et formation des utilisateurs.

You may also like

Milliards pour la Bundeswehr : débat houleux

Libération des prisonniers politiques

Décès de Mary Lavin (née Heaver)

Le Preßburger Klezmer Band fête ses 30 ans

Nikosia demande des excuses à Karol Nawrocki

Erreur monumentale des Spurs : le trade de...

Brexit, autodétermination, mondialisation et nouveaux prolétaires

Christian Dürr, futur chef du FDP : un...

Évaluation physique REFFIS Plus : Elenco

Luxon et Modi : la réaction du Premier...

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.