Espionnage Cyber APT15 : Analyse des Campagnes et des TTP
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
APT15 est un groupe chinois de cyberespionnage parrainé par l’État, actif depuis 2010, ciblant principalement les agences gouvernementales, les missions diplomatiques et les organisations militaires. Les acteurs s’appuient sur le spear-phishing, l’exploitation d’applications accessibles au public et les portes dérobées personnalisées pour obtenir un accès initial et maintenir une présence à long terme. Leur arsenal comprend la stéganographie, le déguisement, la manipulation du registre et les canaux de C2 cryptés intégrés dans les en-têtes HTTP ou le trafic DNS. La campagne continue d’évoluer avec de nouveaux outils comme Graphican et le réseau de relais ORB3.
Investigation
L’enquête a cartographié plusieurs familles de logiciels malveillants (BS2005, TidePool, MirageFox, Graphican, etc.) et un ensemble complet de techniques ATT&CK couvrant l’accès initial, l’exécution, la persistance, l’escalade de privilèges, l’évasion de défense, l’accès aux informations d’identification, la découverte, la collecte, l’exfiltration et le commandement et contrôle. Les analystes ont extrait des indicateurs concrets incluant des domaines, des chemins de fichiers, des clés de registre et des lignes de commande à partir des données du cas. L’infrastructure du groupe utilise des domaines tels que goback.stranged.net and finance.globaleducat.com pour les opérations de C2.
Atténuation
Les mesures de défense recommandées incluent une analyse rigoureuse des pièces jointes par e-mail, une mise à jour rapide des correctifs de Microsoft Exchange, SharePoint et des périphériques VPN, ainsi qu’une surveillance des modifications suspectes du registre, des tâches planifiées anormales et les exécutions de charges utiles basées sur rundll32 ou COM. La surveillance réseau devrait se concentrer sur l’activité atypique des cookies HTTP et les requêtes DNS TXT alignées sur des schémas C2 connus. La liste blanche des applications et les analyses comportementales peuvent aider à bloquer l’utilisation de compresseurs renommés et des charges utiles PNG basées sur la stéganographie.
Réponse
Lorsque l’activité d’APT15 est détectée, isolez l’hôte affecté, capturez les données volatiles et tous les artefacts IOC associés, et bloquez les domaines C2 et les adresses IP identifiés. Effectuez une analyse judiciaire complète pour localiser les raccourcis persistants, les tâches planifiées et les modifications du registre, puis éradiquer les composants malveillants et réinitialisez les informations d’identification compromises. Informez les utilisateurs concernés et mettez à jour les règles de détection pour couvrir les lignes de commande, les chemins de fichiers et les indicateurs d’infrastructure observés.
Flux d’Attaque
Détections
Exécution de Logiciel d’Archivage via Interpréteur de Commande et de Scripts (via process_creation)
Voir
Chaînes Powershell Suspectes (via powershell)
Voir
Chaînes Powershell Suspectes (via cmdline)
Voir
Binaire/Scripts Suspects dans Emplacement de Démarrage Automatique (via file_event)
Voir
Exécution Possible de XCOPY pour la Collection de Documents (via cmdline)
Voir
Extension de Fichier Suspecte Ajoutée aux Clés Run [ASEPs] (via registry_event)
Voir
IOCs (Emails) pour détecter : APT15 Cyber Espionnage : Analyse des Campagnes et TTPs
Voir
Détection de l’Exécution de Commandes et des Techniques de Persistance d’APT15 [Création de Processus Windows]
Voir
Détecter la Communication C2 d’APT15 via des En-têtes HTTP Spécifiques [Connexion Réseau Windows]
Voir
Exécution de Simulation
Prérequis : Le Contrôle Prévol des Télémetries et Baseline doit avoir réussi.
Récit & Commandes de l’Attaque :
- Préparation : L’adversaire a déjà compromis un compte utilisateur et est arrivé sur le point de terminaison.
- Mise en Scène des Données (T1059.003) : En utilisant exactement
xcopyla syntaxe observée dans l’activité historique d’APT15, l’attaquant copie les fichiers du bureau de la victime dans un dossier temporaire WMI caché, préservant les horodatages (/D:09-29-2021) pour se fondre dans l’activité légitime du système. - Exécution de Payload (T1218.002) : L’attaquant invoque ensuite
rundll32.exeavec un chemin à nom court (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll) pour exécuter un JavaScript malveillant qui établit une persistance. - Résultat : Les deux commandes génèrent des événements de création de processus distincts qui correspondent à la règle Sigma
selection1andselection2respectivement, déclenchant une alerte.
Script de Test de Régression :
# -------------------------------------------------
# Script de Simulation APT15 – déclenche la règle Sigma
# -------------------------------------------------
# 1. Créer des répertoires de mise en scène et des fichiers factices
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "données sensibles" -Encoding UTF8
# 2. Exécuter la commande xcopy exacte utilisée par APT15
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd
# 3. Déployer la DLL malveillante (simulée par la copie d'une DLL légitime)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force
# 4. Exécuter rundll32 avec le modèle d'argument exact d'APT15
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd
# -------------------------------------------------
# Fin de la simulation
# -------------------------------------------------
Commandes de Nettoyage :
# Supprimer les fichiers et répertoires de mise en scène
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue
# Supprimer le dossier et la DLL IEHelper fictifs
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue
# Optionnel : arrêter Sysmon (si seulement nécessaire pour le test)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u