Logiciel malveillant Warzone RAT utilisé par le groupe APT Confucius dans des attaques ciblées
Table des matières :
Des chercheurs en sécurité ont repéré une campagne en cours du groupe APT Confucius qui utilise le malware Warzone RAT pour compromettre ses cibles. La campagne vise vraisemblablement le secteur gouvernemental de la Chine et d’autres pays de l’Asie du Sud.
Description de Warzone RAT
Le cheval de Troie d’accès à distance Warzone (RAT), un successeur prolifique de AveMaria stealer, est apparu pour la première fois en 2018 en tant que souche de malware-as-a-service (MaaS). Tout au long de 2020, Warzone a été significativement perfectionné par ses opérateurs pour augmenter sa compétitivité dans l’arène malveillante. Le Trojan est actuellement vendu entre 23 et 50 dollars, selon la période de location qui peut varier de un à trois mois. De plus, Warzone offre plusieurs options payantes, y compris un poison RAT, un Crypter, et des exploits silencieux pour .DOC et Excel. De plus, une version piratée du Trojan a été téléchargée sur GitHub, ce qui élargit l’adoption du malware au sein de la communauté cybercriminelle.
Alors qu’est-ce que le malware Warzone RAT ? Warzone est un cheval de Troie d’accès à distance à part entière écrit en langage C++ et compatible avec la plupart des versions de Windows. Selon l’ analyse des chercheurs, le Trojan peut fournir un contrôle à distance complet du PC ciblé. La liste des capacités comprend l’extraction automatique de mots de passe des principaux navigateurs et clients de messagerie (Chrome, Firefox, Opera, Internet Explorer, Thunderbird, Foxmail, Outlook, et plus). En outre, le malware peut télécharger et exécuter des fichiers sur l’appareil compromis, effectuer une frappe de touches et l’exécution de commandes, connecter le module de webcam, activer le proxy inverse et faciliter le shell à distance.
Il convient de noter que Warzone RAT réussit à échapper à la détection et à élever ses privilèges sur la machine compromise. Le malware intègre un contournement UAC capable de surmonter les restrictions par défaut du système de fichiers sous Windows 10. Cela est fait en abusant de la fonctionnalité sdclt.exe dans les fonctionnalités de sauvegarde et de restauration du système. Pour les anciennes versions de Windows, le malware utilise un contournement UAC distinct inclus dans sa configuration.
Vue d’ensemble de l’attaque
Les chercheurs d’Uptycs ont analysé la chaîne d’attaque de Warzone exploitée dans la dernière campagne APT Confucius. L’intrusion commence par un document leurre nommé « China Cruise Missiles Capabilities-Implications for the Indian Army.docx ». Un tel appât peut attirer l’attention des employés au sein des départements gouvernementaux ciblés car il décrit les tensions frontalières actuelles entre l’Inde et la Chine. Si un utilisateur est convaincu d’ouvrir le document, il télécharge l’exploit RTF de l’étape suivante via une injection de modèle. L’exploit, à son tour, déverse la charge utile finale de Warzone RAT via une DLL intégrée.
L’analyse de la DLL a permis aux chercheurs d’identifier trois autres documents leurres probablement ciblés sur d’autres cibles du secteur public dans la région. Les appâts sont liés à l’activité militaire de la Chine dans le détroit de Taïwan, aux décisions de Joe Biden concernant les questions d’armes nucléaires, et à la candidature à la Pakistan Space & Upper Atmosphere Research Commission (SUPARCO). Les appâts ont été diffusés depuis octobre 2020, indiquant que la campagne dure au moins plusieurs mois.
Détection du malware Warzone RAT
Pour détecter l’activité malveillante de Warzone RAT, vous pouvez télécharger une règle Sigma fraîche publiée par notre développeur Threat Bounty Osman Demir :
https://tdm.socprime.com/tdm/info/i17zSMtfKc76/-oy79nYBmo5uvpkjsFUZ/
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
MITRE ATT&CK :
Tactiques : Exécution, Persistance
Techniques : Interface de ligne de commande (T1059), Clés de démarrage/Folder de démarrage du registre (T1060)
Si vous n’avez pas accès à la version payante du Threat Detection Marketplace, vous pouvez activer votre essai gratuit sous un abonnement communautaire pour débloquer la règle Sigma liée au cheval de Troie d’accès à distance Warzone.
Pour accéder à plus de contenu SOC pertinent disponible gratuitement sur notre plateforme, abonnez-vous à Threat Detection Marketplace. Nous avons plus de 81 000 éléments de contenu de détection compatibles avec la majorité des plateformes SIEM, EDR, NTDR et SOAR. Inspiré pour créer vos propres règles Sigma et contribuer aux initiatives de chasse aux menaces ? Rejoignez notre programme Threat Bounty pour un avenir plus sûr !
