Les chercheurs de Kaspersky Lab ont découvert un groupe de menaces persistantes avancées (APT) jusqu'alors inconnu, qu'ils ont baptisé ToddyCat. Ce groupe a ciblé des organismes de premier plan en Asie et en Europe. Il s'introduit souvent dans les systèmes en piratant des serveurs Microsoft Exchange exposés sur Internet, avant d’activer une chaîne d'infection en plusieurs étapes qui débouche sur le déploiement de deux programmes malveillants personnalisés. « Nous avons encore peu d'informations sur cet acteur, mais nous savons qu’il exploite deux outils, jusque-là inconnus, que nous avons baptisés Samurai backdoor et Ninja Trojan », ont déclaré les chercheurs.
Des exploits Microsoft Exchange
Selon la télémétrie de Kaspersky Lab, les campagnes malveillantes de ToddyCat remontent à décembre 2020. Á l'époque, le groupe avait ciblé quelques serveurs Microsoft Exchange appartenant à des organismes de Taiwan et du Vietnam. Les chercheurs ne savent pas très bien quelle vulnérabilité a été exploitée par le groupe lors de ces premières attaques, faute d’avoir pu récupérer un échantillon de l'exploit. Mais à partir de février 2021, le groupe s’est servi de ProxyLogon, une chaîne d'exploit d'exécution de code à distance affectant Microsoft Exchange, corrigé par Microsoft en mars 2021 après la découverte d'attaques abusives dans la nature. Les chercheurs pensent que ToddyCat était peut-être impliqué dans ces attaques, au même titre que le groupe de pirates Hafnium parrainé par l'État chinois, qui a eu accès à l'exploit avant qu'il ne soit corrigé.
Comme Hafnium, après la compromission des serveurs Exchange, les pirates de ToddyCat ont déployé des web shells - une variante de China Chopper - pour conserver l'accès aux serveurs. Ils ont ensuite utilisé cet accès pour télécharger et exécuter un dropper malveillant appelé debug.exe dont le but était de configurer plusieurs clés de registre et de décrypter des charges utiles supplémentaires à exécuter. La chaîne d'infection implique deux autres chargeurs de logiciels malveillants qui ont des charges utiles cryptées et se poursuit éventuellement jusqu’au déploiement d'un programme backdoor que les chercheurs de Kaspersky ont baptisé Samurai.
Les portes dérobées Samurai et Ninja
Samurai est une porte dérobée modulaire écrite en C# qui utilise la classe .NET HTTPListener pour recevoir et interpréter les requêtes HTTP POST. Les attaquants utilisent cette fonctionnalité pour envoyer du code source C# crypté que la porte dérobée déchiffre et exécute. « Le malware est obfusqué avec un algorithme qui rend la rétro-ingénierie plus difficile en compliquant la lecture du code », ont déclaré les chercheurs de Kaspersky. « De plus, le malware utilise de multiples boucles while et des cas switch pour sauter entre les instructions, ce qui aplatit le flux de contrôle et rend difficile le suivi des actions successives dans le code ». Les chercheurs ont identifié plusieurs modules Samurai utilisés par les attaquants qui leur ont permis d'exécuter des commandes à distance, d’énumérer des fichiers sur le disque local, d'exfiltrer des fichiers et d'ouvrir des connexions proxy vers des adresses IP distantes sur des ports spécifiques et de traiter les réponses.
« La lourdeur de l'administration de la porte dérobée Samurai et de ses arguments laisse penser que ce backdoor est le composant côté serveur d'une solution plus importante comprenant au moins un autre élément client et que celui-ci offre une interface aux opérateurs qui sert peut-être à télécharger automatiquement certains modules prédéfinis », ont encore expliqué les chercheurs. Dans certains cas spécifiques, la porte dérobée Samurai a été utilisée pour déployer un autre malware que les chercheurs ont baptisé Ninja. Ce Trojan beaucoup plus complexe, écrit en C++, donne aux attaquants un contrôle total à distance du système. Les chercheurs soupçonnent ce cheval de Troie de faire partie d'une boîte à outils de post-exploitation plus importante développée par le groupe et qui ressemble à des outils comme Cobalt Strike.
Le cheval de Troie Ninja peut répertorier et gérer les processus en cours, gérer le système de fichiers, lancer des sessions reverse shell, injecter du code dans des processus arbitraires et charger des modules supplémentaires. « De plus, l'outil peut être configuré pour communiquer à l'aide de plusieurs protocoles et comprend des fonctions pour échapper à la détection, en masquant son trafic malveillant dans des requêtes HTTP et HTTPS qui tentent de paraître légitimes en utilisant des combinaisons populaires de noms d'hôtes et de chemins URL », ont poursuivi les chercheurs. « La configuration, entièrement personnalisable, est comparable à d'autres fonctionnalités fournies par de célèbres outils de post-exploitation comme Cobalt Strike et ses profils Malleable C2 ». L'agent malveillant Ninja peut être configuré pour travailler dans des délais spécifiques et peut agir comme un serveur pour d'autres agents dans le même réseau, analysant et transférant les demandes entre eux et un serveur C2. Cela permet aux pirates d'opérer au cœur des réseaux sans ouvrir les connexions Internet de toutes les machines infectées et de diriger toutes les communications à travers un seul nœud.
Des cibles de premier plan dans le collimateur
Depuis que les attaques ont commencé en décembre 2020, elles se sont poursuivies tout au long de l'année 2021 et jusqu'au mois de février de cette année, au moins. Selon Kaspersky, des organisations ont été ciblées à Taïwan, au Vietnam, en Afghanistan, en Inde, en Iran, en Malaisie, au Pakistan, en Russie, en Slovaquie, en Thaïlande, au Royaume-Uni, au Kirghizistan, en Ouzbékistan et en Indonésie. Il convient également de noter que toutes les attaques ToddyCat n'ont pas utilisé Microsoft Exchange comme point d'entrée. Dans certains cas, les chercheurs ont découvert que des chargeurs pour le cheval de Troie Ninja avaient été livrés dans des archives ZIP via l'application de messagerie Telegram. Cela signifie que le groupe a également ciblé directement certaines personnes afin de prendre pied dans des organisations qui présentent un intérêt pour eux.
Les chercheurs de Kaspersky ont observé que certaines victimes avaient aussi été ciblées par des groupes de langue chinoise, notamment par un groupe APT chinois qui utilise un programme de porte dérobée appelé FunnyDream. Cependant, malgré certaines similitudes, il n'existe pas de preuves convaincantes liant les deux groupes ou familles de malware. Plus probablement, c’est le profil des victimes qui en fait des cibles intéressantes pour plusieurs groupes APT, de sorte que tout chevauchement pourrait être fortuit. « Les organisations touchées, tant gouvernementales que militaires, montrent que ce groupe se concentre sur des cibles de très haut niveau et qu'il est sans doute utilisé pour atteindre des objectifs critiques, probablement liés à des intérêts géopolitiques », ont déclaré les chercheurs de Kaspersky. Le rapport de l’éditeur comprend divers hachages de fichiers provenant des échantillons de malwares ToddyCat découverts, ainsi que d'autres indicateurs de compromission.