Détection d’attaque de la fourmi tisserande : Un groupe lié à la Chine cible un fournisseur de télécommunications en Asie en utilisant plusieurs Web Shells, y compris China Chopper
Table des matières :
APT les groupes de Chine étaient classés parmi les principales menaces cybernétiques mondiales aux côtés de la Corée du Nord, de la Russie et de l’Iran, montrant des capacités offensives accrues et posant des défis significatifs au paysage de la cybersécurité. Suite à la récente révélation de l’ Opération AkaiRyū par MirrorFace (alias Earth Kasha), les attaquants à nexus chinois frappent à nouveau. Cette fois, les chercheurs en sécurité rapportent une opération offensive de longue durée menée par le groupe Weaver Ant qui a passé des années dans le réseau d’un fournisseur de services de télécommunications pour de la cyber-espionnage.
Détecter les attaques de Weaver Ant
En raison de l’augmentation des tensions géopolitiques, les acteurs de la menace soutenus par des États ont intensifié leurs activités malveillantes, utilisant des techniques avancées pour atteindre leurs objectifs stratégiques. L’espionnage cybernétique est devenu un axe majeur, avec des opérations de plus en plus ciblées et discrètes. Un exemple récent est l’opération APT de Weaver Ant, qui a utilisé des tactiques sophistiquées de shells web pour infiltrer un important fournisseur de télécommunications en Asie. Cet incident souligne la complexité croissante et la précision des menaces cybernétiques dans le paysage géopolitique actuel.
Pour contrer les menaces émergentes et anticiper les possibles attaques de Weaver Ant, la plateforme SOC Prime offre un ensemble de règles Sigma pertinentes qui traitent des TTP de l’acteur de menace. Cliquez simplement sur le bouton Explore Detections ci-dessous pour accéder immédiatement à un ensemble dédié de règles.
Les règles sont compatibles avec plusieurs solutions SIEM, EDR et Data Lake et sont mappées à MITRE ATT&CK® pour faciliter l’enquête sur les menaces. Les détections sont également enrichies de métadonnées étendues, y compris CTI liens, chronologies d’attaque, recommandations de triage, et plus.
Les professionnels de la sécurité à la recherche de plus de contenu de détection abordant les TTP utilisés par les acteurs soutenus par des États peuvent parcourir le Threat Detection Marketplace en utilisant le tag “APT” pour explorer une collection plus large d’algorithmes de détection et d’informations sur les menaces en temps réel soutenue par un ensemble complet de produits pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la détection avancée des menaces.
Analyse des attaques de Weaver Ant
Le groupe de hackers lié à la Chine suivi par Sygnia comme Weaver Ant a été observé utilisant des tactiques avancées de web shell pour cibler un grand fournisseur de télécommunications en Asie. Les attaquants ont montré une persistance remarquable contre plusieurs efforts d’éradication, infiltrant le réseau depuis plus de quatre ans. Ils ont utilisé un réseau ORB non provisionné pour proxifier le trafic et cacher leur infrastructure, utilisant principalement des routeurs Zyxel CPE compromis provenant de fournisseurs de télécommunications d’Asie du Sud-Est, leur permettant de pivoter entre les télécoms.
Weaver Ant a déployé plusieurs charges utiles, y compris des web shells basiques comme canaux pour des charges plus avancées, telles qu’un outil de tunneling récursif qui facilitait le tunneling HTTP pour accéder aux ressources internes. Cela a permis aux hackers de naviguer en douceur dans divers environnements web et de maintenir une adaptabilité opérationnelle. Weaver Ant a également utilisé des web shells pour le mouvement latéral. Weaver Ant a employé des méthodes d’évasion de défense pour exfiltrer des données discrètement sans détection, comme la capture de trafic réseau passif via la duplication de port. Plutôt que d’utiliser des web shells autonomes, Weaver Ant a employé une technique appelée « tunneling de web shell, » qui fait transiter le trafic entre les serveurs à travers différents segments de réseau, créant un réseau C2 caché. Chaque shell agit comme un proxy, transmettant des charges utiles cryptées pour une exploitation plus profonde du réseau. En outre, Weaver Ant a déployé des DLL trojanisées pour infecter les systèmes.
Les chercheurs enquêtant sur la brèche ont découvert plusieurs variantes du cheval de Troie China Chopper , ainsi qu’un nouveau web shell personnalisé appelé « INMemory » qui exécute les charges directement dans la mémoire de l’hôte. Les adversaires ont accédé au réseau en déployant une itération du web shell China Chopper cryptée en AES, permettant un contrôle à distance des serveurs et contournant les protections pare-feu.
China Chopper fournit des capacités offensives avancées comme la gestion de fichiers, l’exécution de commandes et l’exfiltration de données. Sa taille compacte et sa nature furtive en font un outil parfait pour maintenir un accès persistant, permettant une exploitation plus approfondie, et évitant la détection par les systèmes de sécurité conventionnels. Sa polyvalence et sa facilité d’utilisation en ont fait un outil prisé pour mener une variété d’activités malveillantes sur des systèmes compromis. Le second web shell appelé « INMemory » fonctionne en décodant une chaîne GZippée Base64 codée en dur en un exécutable portable (PE) appelé ‘eval.dll’, qu’il exécute ensuite entièrement en mémoire pour éviter la détection.
De plus, Weaver Ant a utilisé des partages SMB et des comptes à haute priorité de longue date, souvent authentifiés via des hachages NTLM, pour se déplacer latéralement dans le réseau. En quatre ans, ils ont récolté des fichiers de configuration, des journaux et des identifiants pour cartographier l’environnement et cibler des systèmes clés. Le groupe s’est concentré sur le renseignement réseau et l’accès continu à l’infrastructure des télécommunications plutôt que sur le vol de données des utilisateurs, s’alignant sur l’espionnage parrainé par l’État.
La sophistication accrue des attaques de Weaver Ant et l’utilisation de techniques avancées d’évasion de détection nécessitent une ultra-réactivité de la part des défenseurs. Pour minimiser les risques de l’activité hautement persistante de Weaver Ant, les défenseurs recommandent de mettre en œuvre des contrôles de trafic réseau internes, d’activer la journalisation complète IIS et PowerShell, d’imposer les principes de moindre privilège, et de faire tourner souvent les identifiants des utilisateurs. Les organisations peuvent compter sur la suite complète de produits de SOC Prime soutenus par l’IA et fusionnant des technologies de pointe pour optimiser les risques et la posture cybersécurité de l’organisation.
