La fuite involontaire : un aperçu des vecteurs d’attaque d’APT37

Synthèse

Chez Zscaler ThreatLabz, nous suivons de près les outils, techniques et procédures d’APT37 (également connu sous le nom de ScarCruft ou Temp.Reaper), un acteur de menace persistante avancée basé en Corée du Nord. Cet acteur malveillant a été très actif en février et mars 2023, ciblant des individus dans diverses entreprises sud-coréennes.

Au cours de nos recherches dans le cadre de notre chasse aux menaces, nous avons découvert un référentiel GitHub qui appartient à un membre du groupe d’acteurs malveillants. En raison d’une défaillance de sécurité opérationnelle (OpSec) de l’acteur malveillant, nous avons pu accéder à une multitude d’informations sur les fichiers malveillants utilisés par ce groupe APT, ainsi qu’à la chronologie de leurs activités remontant à octobre 2020.

Sekoia a récemment partagé ici ses découvertes concernant l’ensemble des outils d’APT37. Dans notre blog, nous divulguons des détails supplémentaires que nous avons découverts à la suite de notre enquête approfondie sur le référentiel GitHub de l’acteur malveillant.

Le grand nombre d’échantillons que nous avons identifiés via le référentiel GitHub du hacker ne sont pas présents sur les sources OSINT telles que VirusTotal. Cela nous a permis d’obtenir davantage d’informations sur les vecteurs d’attaque, les motivations, les cibles et les thèmes utilisés jusqu’alors non documentés de cet acteur malveillant.

Nous présenterons dans ce blog une analyse technique de haut niveau de la chaîne d’infection, les nouveaux chargeurs que nous avons identifiés et une analyse détaillée des thèmes utilisés par ce groupe APT, découverts lors de l’examen de l’historique des commits sur GitHub. Même si l’acteur malveillant supprime régulièrement les fichiers du référentiel, nous avons pu récupérer tous les fichiers supprimés et les analyser.

Points importants à retenir

• APT37 est un acteur de menace persistante avancée basé en Corée du Nord qui cible principalement les membres d’entreprises sud-coréennes.
• Son principal objectif est le cyber-espionnage qu’il réalise par l’exfiltration de données dans des formats de fichiers sélectionnés présentant un intérêt à ses yeux.
• Il dépose la porte dérobée Chinotto basée sur PowerShell en utilisant divers vecteurs d’attaque.
• Nous avons découvert le référentiel GitHub d’APT37 et identifié de nombreux vecteurs d’attaque, artefacts et thèmes jusqu’alors non documentés utilisés par ce groupe.
• Les formats de fichiers exploités par APT37 incluent les fichiers d’aide Windows (CHM), HTA, HWP (Hancom office), XLL (module complémentaire MS Excel) et des fichiers MS Office basés sur des macros.
• Outre la diffusion de malwares, ce groupe se concentre également sur les attaques de phishing d’informations d’identification.
• Le groupe a repris son activité dans la seconde moitié de janvier 2023 et cible depuis lors activement les utilisateurs en Corée du Sud via des e-mails de spear phishing.
• Dans le cadre de l’infrastructure C2, le groupe compromet souvent les sites Web du système de bulletins électroniques (BBS) basés en Corée du Sud et les utilise.
• Le groupe fait constamment évoluer ses outils, techniques et procédures tout en expérimentant de nouveaux formats de fichiers et méthodes pour contourner les fournisseurs de sécurité.

Chaîne d’attaque

Plusieurs vecteurs d’attaque sont utilisés par APT37 dans cette campagne. Les figures 1 et 2 illustrent deux exemples de chaîne d’attaque. Nous avons décrit les autres vecteurs d’attaque dans la section « TTP récents ».

 

Figure 1 : Chaîne d’attaque utilisant le format de fichier CHM pour lancer la chaîne d’infection

Figure 2 : Chaîne d’attaque utilisant le module complémentaire MS Office Excel pour lancer la chaîne d’infection

Échec d’Opsec par APT37

Présentation du référentiel GitHub des acteurs malveillants

Notre première découverte a été le référentiel GitHub d’APT37 qui était utilisé pour stocker plusieurs payloads malveillants. La figure 3 donne un aperçu du référentiel GitHub de l’acteur malveillant.

Figure 3 : Compte GitHub de l’acteur malveillant

Le contenu du fichier Readme apparaît comme un référentiel lié aux logiciel Android. À la fin du fichier Readme, nous avons remarqué une chaîne de caractères encodée en base64, précédée d’une balise.

En examinant l’historique des commits, nous avons remarqué que l’acteur malveillant mettait souvent à jour cette chaîne codée. Bien que nous n’ayons pas été en mesure d’identifier l’utilisation exacte de cette chaîne codée, nous pensons qu’elle sera récupérée par un payload sur le terminal.

La figure 4 illustre un commit GitHub dans lequel l’acteur malveillant met à jour le jeton encodé.

Figure 4 : Commit GitHub montrant l’acteur malveillant mettant à jour le jeton encodé dans le fichier README

Récupération de fichiers supprimés

Lorsque nous avons examiné l’historique des commits du référentiel GitHub, nous avons remarqué que le hacker en supprimait fréquemment les fichiers malveillants. La figure 5 montre les journaux de validation liés aux événements de suppression.

Figure 5 : Historique des commits GitHub montrant les fichiers régulièrement supprimés par l’acteur malveillant

Nous avons retracé cet historique de commits jusqu’à son origine et observé que le premier commit a eu lieu en octobre 2020. Cela nous a surpris dans la mesure où le hacker a pu maintenir un référentiel GitHub, hébergeant fréquemment des payloads malveillants pendant plus de 2 ans sans être détecté ni démantelé.

La figure 6 montre le premier commit dans les journaux de l’historique des commits.

Figure 6 : Premier commit dans le compte GitHub ; activité démarrée en octobre 2020

Notre prochaine étape a consisté à récupérer tous les fichiers supprimés du référentiel GitHub. Nous avons inclus la liste des hachages et les noms de fichiers originaux dans la section des indicateurs de compromission (IOC).

Analyse des thèmes et des cibles

Cette mine d’informations récupérées sur le référentiel GitHub nous a permis d’identifier les types de thèmes utilisés par le hacker comme leurres d’ingénierie sociale et nous avons pu faire une estimation éclairée des cibles potentielles de la campagne.

Selon notre analyse des noms de fichiers et du contenu des leurres, nous avons résumé les thèmes ci-dessous, accompagnés d’exemples. Cette liste n’est pas exhaustive.

 

 

Exemples de thèmes leurres

Nous avons inclus ci-dessous quelques thèmes leurres utilisés par l’acteur malveillant. Il s’agit d’échantillons non encore documentés dans le domaine public. Nous espérons donc que ces informations permettront de mieux comprendre les thèmes utilisés dans la campagne.

Géopolitique

La figure 7 montre un fichier leurre lié à l’INSS (Institute of National Security Strategy) en Corée du Sud. Ce PDF leurre a été envoyé avec un fichier CHM contenu dans le fichier d’archive portant le nom : [INSS] National Security and Strategy (Winter 2022).rar.

Figure 7 : Leurre lié au thème géopolitique

Instituts d’enseignement et universitaires

La figure 8 illustre un fichier leurre lié à des questions d’examen sur le thème du développement économique coréen.

Figure 8 : Leurre lié au thème de l’enseignement

Finances

La figure 9 montre un fichier leurre lié à Hanwha General Insurance, une société d’assurance générale en Corée du Sud. Ce fichier leurre a été envoyé avec le fichier CHM dans un fichier d’archive, BoanMail.rar.

Figure 9 : Leurre lié au thème de la finance

TTP récents

Vecteur d’attaque - CHM

Il est bien connu qu’APT37 utilise une porte dérobée Chinotto basée sur PowerShell qui est déployée sur le terminal par le biais d’un fichier d’aide Windows (CHM) malveillant. Ces fichiers CHM sont diffusés dans des fichiers d’archives. La plupart de ces fichiers d’archives contiennent deux composants : le fichier CHM malveillant et le fichier leurre à afficher à la victime.

Dans la plupart des cas, les fichiers leurres sont protégés par mot de passe. Le mot de passe permettant d’ouvrir le fichier leurre est affiché par le fichier CHM.

La figure 10 ci-dessous montre un exemple de code à l’intérieur du fichier CHM qui est chargé d’afficher le fichier leurre à la victime, de télécharger un fichier HTA malveillant depuis le serveur de l’attaquant et de l’exécuter.

Figure 10 : Code à l’intérieur du fichier CHM utilisé pour lancer MSHTA et télécharger HTA

Nouveau vecteur d’attaque - Module complémentaire MS Excel

Jusqu’à présent, dans la plupart des campagnes d’APT37 déployant la porte dérobée Chinotto PowerShell, les hackers ont exploité les fichiers CHM distribués dans les fichiers d’archives.

Il est intéressant de noter que le 15 mars 2023, au moment de notre enquête, le hacker a téléchargé un module complémentaire Microsoft Excel malveillant dans le référentiel GitHub. Ce module complémentaire est un fichier XLL. Les fichiers XLL sont des DLL qui fonctionnent comme un module complémentaire pour l’application Microsoft Excel.

Nous n’avons jamais vu ce vecteur d’attaque utilisé par APT37 auparavant et nous pensons qu’il s’agit du premier cas documenté.

Analyse technique du fichier XLL

Pour les besoins de l’analyse technique, nous utiliserons le fichier XLL dont le hachage MD5 est le suivant : 82d58de096f53e4df84d6f67975a8dda.

Les fichiers XLL sont activés lorsqu’ils sont chargés par l’application MS Excel. Il existe diverses fonctions de rappel fournies par Microsoft qui permettent au fichier XLL de communiquer avec l’application Excel. L’une des fonctions les plus courantes est xlAutoOpen() qui est appelée dès que la DLL est chargée et activée par l’application MS Excel.

La figure 11 ci-dessous montre le code présent dans le fichier XLL dans notre cas.

Figure 11 : Sous-programme xlAutoOpen() du module complémentaire MS Office Excel malveillant

Voici les principales étapes effectuées par ce fichier XLL.

• Extrait un fichier XLS de l’entrée appelée « EXCEL » dans sa section de ressources et le dépose sur le système de fichiers dans le chemin : C:\programdata\20230315_SejeongSupport.xls
   
• Affiche le fichier XLS déposé ci-dessus qui est utilisé comme leurre d’ingénierie sociale
   
• Lance MSHTA pour télécharger un fichier HTA à partir de l’URL : hxxp://yangak[.]com/data/cheditor4/pro/temp/5.html

Ce fichier HTA contient la porte dérobée PowerShell appelée Chinotto.

En fin de compte, nous constatons que le but de ce fichier XLL est également de déployer la porte dérobée PowerShell Chinotto. Cependant, au lieu d’utiliser le fichier CHM, il utilise désormais le fichier XLL.

Vecteur d’attaque - LNK

Nous avons récupéré certains fichiers LNK du référentiel GitHub qui ont été téléchargés en août 2022 et apparemment utilisés dans des attaques en circulation à peu près à la même période. Ces fichiers LNK se trouvaient dans les archives RAR. Outre le fichier LNK, un fichier HTML était présent, se faisant passer pour une page de connexion de la société sud-coréenne LG.

Les deux fichiers LNK que nous avons observés utilisaient tous deux des extensions doubles : « html.lnk » et « pdf.lnk ».

Ces fichiers LNK ont été utilisés pour exécuter MSHTA et télécharger le fichier HTA malveillant depuis le serveur du hacker. Le reste de la chaîne d’attaque est similaire à d’autres cas, ce qui conduit finalement à la porte dérobée Chinotto basée sur PowerShell.

Nous avons analysé les métadonnées du fichier LNK avec l’outil LECmd et avons remarqué que les deux fichiers LNK étaient générés sur une machine virtuelle exécutant VMWare et dont l’adresse Mac est « 00:0c:29:41:1b:1c ».

Étant donné que le hacker a réutilisé la même machine virtuelle pour générer plusieurs payloads, ces informations pourraient être utiles à des fins de recherche et d’attribution des menaces à l’avenir.

Les figures 12 et 13 montrent les sorties de l’outil LECmd mettant en évidence la commande cible exécutée par le LNK et d’autres métadonnées importantes.

Figure 12 : Ligne de commande cible du LNK et métadonnées extraites à l’aide de LECmd

Figure 13 : Détails de la machine LNK extraits à l’aide de LECmd

La figure 14 montre le fichier HTML leurre qui est conditionné avec le fichier LNK dans la même archive.

Nom de fichier : LG유플러스_이동통신_202208_이_선.html
Traduction : U+_Mobile_Communication_202208_Lee_Seon.html

Figure 14 : Fichier leurre lié à LG

Vecteur d’attaque - Fichier MS Office basé sur une macro

En mars 2022, un fichier MS Office Word basé sur des macros a été téléchargé sur le référentiel GitHub. Cette macro lance MSHTA pour télécharger également la porte dérobée Chinotto basée sur PowerShell. L’URL cible à partir de laquelle le fichier HTA est récupéré est également la même que dans le cas précédent. Cela montre que l’acteur malveillant utilise plusieurs formats de fichiers initiaux et vecteurs d’attaque pour déployer la même porte dérobée.

Nom du fichier : NEW(주)엠에스북스 사업자등록증.doc
Traduction du nom de fichier : NEW MS Books Business Registration Certificate.doc

La figure 15 montre le code de macro VBA pertinent.

Figure 15 : Macro VBA utilisée pour lancer MSHTA afin de télécharger le fichier HTA malveillant

Vecteur d’attaque - Fichier HWP avec objet OLE intégré

Un autre vecteur d’attaque utilisé par APT37 pour déployer la porte dérobée Chinotto basée sur PowerShell sur le terminal consiste à utiliser des fichiers HWP avec des objets OLE intégrés. Ces objets OLE contiennent un binaire PE32 malveillant qui exécute MSHTA pour télécharger une porte dérobée basée sur PowerShell à partir du serveur C2.

Lorsqu’ils sont visualisés avec Hancom Office, les objets OLE intégrés prennent la forme d’un élément cliquable dans le corps du document.

APT37 utilise des images d’appât trompeuses pour inciter l’utilisateur à cliquer sur les éléments de l’objet OLE, une action nécessaire pour provoquer l’exécution des payloads PE malveillants à l’intérieur de ces objets.

La figure 16 montre un exemple d’un tel document, tel qu’il apparaît dans Hancom Office.

Figure 16 : Document HWP malveillant d’APT37. La boîte de dialogue en coréen est fausse. Il s’agit en fait d’un objet OLE représenté par une image statique d’une boîte de dialogue. Lorsque l’utilisateur clique dessus, une véritable boîte de dialogue apparaît, invitant l’utilisateur à confirmer l’exécution du payload.

Le reste de la chaîne d’attaque est similaire aux cas précédents.

Pour les besoins de l’analyse technique, nous considérerons le fichier HWP dont le hachage MD5 est : a4706737645582e1b5f71a462dd01140.

Nom du fichier : 3. 개인정보보완서약서_북주협.hwp
Nom de fichier traduit : 3. Personal Information Security Pledge_Bukjuhyeop.hwp

La figure 17 montre le flux d’objets OLE présent dans le fichier HWP.

Figure 17 : Flux d’objets OLE malveillants présents dans le fichier HWP

Les flux d’objets dans les fichiers HWP sont compressés en zlib. Une fois décompression effectuée, nous en avons extrait le binaire PE32.

Hachage MD5 du binaire extrait : d8c9a357da3297e7ccb2ed3a5761e59f
Nom de fichier : HancomReader.scr
Chemin PDB : E:\Project\windows\TOOLS\RunCmd\Release\RunCmd.pdb

La figure 18 montre le code pertinent dans HancomReader.scr.

Figure 18 : Code pertinent dans HancomReader.scr utilisé pour télécharger et exécuter la porte dérobée PowerShell

Détection dans Zscaler Sandbox

La figure 19 montre la détection du fichier HTA dans Zscaler Sandbox.

Figure 19 : Rapport Zscaler Cloud Sandbox

La figure 20 montre la détection du fichier MS Office Word basé sur une macro dans Zscaler Sandbox.

La figure 20 montre la détection d’un fichier de document basé sur une macro dans Zscaler Sandbox.

Outre les détections dans le sandbox, la plateforme de sécurité multicouche de Zscaler détecte les indicateurs à différents niveaux :

HTA.Downloader.Chinotto
VBA.Downloader.Chinotto
Win32.Backdoor.Chinotto
 

Conclusion

Comme nous l’avons évoqué dans ce blog, APT37 est un acteur malveillant fortement axé sur le ciblage d’entités en Corée du Sud. Il met constamment à jour ses tactiques, techniques et procédures, comme en témoignent les multiples types de fichiers utilisés au cours des étapes initiales. Les thèmes utilisés par cet acteur malveillant vont de la géopolitique à l’actualité, en passant par l’enseignement, la finance et l’assurance.

Il s’intéresse également particulièrement à l’actualité et aux activités liées à la péninsule coréenne.

Nous continuerons à surveiller les activités de cet acteur malveillant et veillerons à ce que nos clients soient protégés contre APT37.

Indicateurs de compromission (IOC)

Hachages de fichiers d’archives
 

Hachages de fichiers CHM
 

Fichiers LNK

Annexe

#Veuillez noter que la plupart des fichiers HWP mentionnés ci-dessous sont des fichiers leurres propres utilisés par le hacker. Les noms de fichiers originaux sont inclus pour donner au lecteur un aperçu des thèmes utilisés.