Billbug APT basé en Chine infiltre l'autorité de certification

Le groupe de cyberattaque parrainé par l'État connu sous le nom de Billbug a réussi à compromettre une autorité de certification numérique (CA) dans le cadre d'une vaste campagne d'espionnage qui s'est étendue jusqu'en mars – un développement inquiétant dans le manuel de menace persistante avancée (APT), préviennent les chercheurs.

Les certificats numériques sont des fichiers utilisés pour signer un logiciel comme valide et vérifier l'identité d'un appareil ou d'un utilisateur pour activer des connexions cryptées. Ainsi, une compromission de l’autorité de certification pourrait donner lieu à une légion d’attaques furtives.

"Le ciblage d'une autorité de certification est remarquable, car si les attaquants parvenaient à la compromettre pour accéder aux certificats, ils pourraient potentiellement les utiliser pour signer des logiciels malveillants avec un certificat valide et l'aider à éviter d'être détecté sur les machines victimes", selon un rapport cette semaine de Symantec. "Il pourrait également potentiellement utiliser des certificats compromis pour intercepter le trafic HTTPS."

"C'est potentiellement très dangereux", ont noté les chercheurs.

Une vague continue de cyber-compromis

Billbug (alias Lotus Blossom ou Thrip) est un groupe d'espionnage basé en Chine qui cible principalement les victimes en Asie du Sud-Est. Il est connu pour la chasse au gros gibier, c'est-à-dire pour s'attaquer aux secrets détenus par les organisations militaires, les entités gouvernementales et les fournisseurs de communications. Parfois, son réseau est plus large, laissant entrevoir des motivations plus sombres : dans le passé, il a infiltré un opérateur aérospatial pour infecter les ordinateurs qui surveillent et contrôlent les mouvements des satellites.

Lors de la dernière série d’activités néfastes, l’APT a frappé un panthéon d’agences gouvernementales et de défense dans toute l’Asie, infestant dans un cas « un grand nombre de machines » sur un réseau gouvernemental avec son malware personnalisé.

« Cette campagne s'est déroulée au moins de mars 2022 à septembre 2022, et il est possible que cette activité se poursuive », déclare Brigid O Gorman, analyste principale du renseignement chez Symantec Threat Hunter Team. « Billbug est un groupe de menace établi de longue date qui a mené plusieurs campagnes au fil des ans. Il est possible que cette activité s'étende à d'autres organisations ou zones géographiques, bien que Symantec n'en ait aucune preuve pour le moment.

Une approche familière des cyberattaques

Sur ces cibles ainsi qu’au niveau de l’AC, le vecteur d’accès initial a été l’exploitation d’applications vulnérables destinées au public. Après avoir acquis la capacité d’exécuter du code, les acteurs malveillants installent leurs portes dérobées Hannotog ou Sagerunex personnalisées et connues avant de s’enfoncer plus profondément dans les réseaux.

Pour les étapes ultérieures de la kill-chain, les attaquants de Billbug utilisent plusieurs binaires vivant hors de la terre (LoLBins), tels qu'AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail et WinRAR, selon le rapport de Symantec.

Ces outils légitimes peuvent être utilisés à mauvais escient pour diverses utilisations doubles, telles que l'interrogation d'Active Directory pour cartographier un réseau, le traitement de fichiers ZIP pour l'exfiltration, la découverte de chemins entre les points finaux, l'analyse de NetBIOS et des ports et l'installation de certificats racine de navigateur, sans parler du téléchargement de logiciels malveillants supplémentaires. .

Les portes dérobées personnalisées combinées à des outils à double usage constituent une empreinte familière, ayant été utilisée par l'APT dans le passé. Mais le manque d'inquiétude quant à l'exposition du public est par pour le cours pour le groupe.

"Il est à noter que Billbug ne semble pas découragé par la possibilité de se voir attribuer cette activité, car il réutilise des outils qui ont été liés au groupe dans le passé", explique Gorman.

Elle ajoute : « Le recours massif du groupe à la vie agricole et aux outils à double usage est également remarquable, et souligne la nécessité pour les organisations de mettre en place des produits de sécurité capables non seulement de détecter les logiciels malveillants, mais aussi de détecter les logiciels malveillants. reconnaître également si des outils légitimes sont potentiellement utilisés de manière suspecte ou malveillante.

Symantec a notifié l'autorité de certification anonyme en question pour l'informer de l'activité, mais Gorman a refusé de donner plus de détails sur sa réponse ou ses efforts de remédiation.

Bien que rien n’indique jusqu’à présent que le groupe ait pu compromettre de véritables certificats numériques, le chercheur conseille : « Les entreprises doivent être conscientes que les logiciels malveillants pourraient être signés avec des certificats valides si les acteurs malveillants parviennent à accéder aux autorités de certification. »

En général, les organisations devraient adopter une stratégie de défense en profondeur, en utilisant plusieurs technologies de détection, de protection et de renforcement pour atténuer les risques à chaque point d'une chaîne d'attaque potentielle, explique-t-elle.

"Symantec conseillerait également de mettre en œuvre un audit et un contrôle appropriés de l'utilisation des comptes administratifs", a noté Gorman. « Nous suggérons également de créer des profils d'utilisation pour les outils d'administration, car bon nombre de ces outils sont utilisés par les attaquants pour se déplacer latéralement sans être détectés à travers un réseau. Dans l’ensemble, l’authentification multifacteur (MFA) peut contribuer à limiter l’utilité des informations d’identification compromises.