Opération RestyLink : Détection d’une campagne APT ciblant le Japon

Depuis avril 2022, les chercheurs observent une série de cyberattaques ciblées visant spécifiquement les organisations japonaises. La campagne, surnommée Opération RestyLink, serait active depuis au moins mars 2022, avec une activité malveillante liée remontant à octobre 2021. L’attribution exacte est actuellement incertaine, mais la chaîne d’attaque et sa nature hautement ciblée laissent penser qu’un ATP sophistiqué est responsable de l’opération néfaste.

Détecter l’Opération RestyLink

Pour identifier l’activité malveillante associée aux méthodes de persistance de l’Opération RestyLink, téléchargez une règle Sigma fournie par notre développeur Threat Bounty avisé. Osman Demir.

Persistance suspecte de l’Opération RestyLink par écriture de fichier Point dans le démarrage des applications Office [Ciblant le Japon] (via cmdline)

La règle Sigma mentionnée ci-dessus peut être utilisée dans 23 environnements SIEM, EDR et XDR et est mappée au cadre MITRE ATT&CK, traitant des tactiques de persistance avec la technique correspondante de démarrage d’application Office (T1137).

Cliquez sur le Explorer les Détections bouton pour accéder à la liste complète du contenu de détection pour les attaques APT actuelles et émergentes.

Explorer les Détections

Chaîne de destruction d’attaque et Attribution

Selon l’ enquête approfondie menée par l’analyste SOC Rintaro Koike, la dernière attaque RestyLink commence par un email de phishing. Les emails contiennent des URL malveillantes insérées dans leur corps. Si la victime est trompée de cliquer sur le lien, une archive ZIP contenant un fichier LNK est téléchargée depuis le serveur de l’adversaire. Si elle est exécutée, le fichier LNK dépose un fichier DOT dans le dossier de démarrage de Microsoft en utilisant la commande Windows. Simultanément, un PDF leurre est affiché à l’écran, distrayant la victime des processus suspects en arrière-plan.

L’analyse d’intrusions similaires remarquées en avril 2022 et auparavant révèle que les adversaires suivent la même routine mais utilisent différents types de fichiers et méthodes. Par exemple, les acteurs de menace ont envoyé des fichiers ISO malveillants via phishing pour déposer un fichier EXE avec une DLL malveillante cachée dedans. La DLL s’est avérée être un téléchargeur Go packé UPX qui a déposé CobaltSrtike Stranger sur la machine infectée.

La même infrastructure a été utilisée lors des attaques contre le Japon en janvier-mars 2022 ainsi qu’en octobre-novembre 2021. Les experts en sécurité soulignent la nature ciblée des attaques et leur sophistication, ce qui permet de conclure que des acteurs APT pourraient se cacher derrière l’opération. L’attribution exacte est actuellement inconnue, mais avec un faible niveau de confiance, les chercheurs désignent DarkHotel, Kimsuky, APT29, ou TA416 comme opérateurs d’attaque possibles.

Exploitez la puissance de la défense cyber collaborative et augmentez votre vitesse de chasse aux menaces en rejoignant la plateforme Detection as Code de SOC Prime. Découvrez instantanément des informations utilisables et pertinentes sur les menaces cyber, accédez à des règles Sigma dédiées et des traductions à la volée pour plus de 25 solutions SIEM, EDR et XDR, et automatisez vos opérations de chasse et de détection de menaces pour renforcer vos capacités de défense cyber.