NetTraveler – La menace persistante avancée (APT) cible les intérêts russes et européens

0
114

Au cours de l’année 2016, les chercheurs de Proofpoint ont suivi une campagne de cyber-espionnage ciblant des victimes en Russie et dans les pays voisins. Le pirate utilise des campagnes d’hameçonnage porteuses du virus NetTraveler, également connu sous le nom de TravNet.

Observé pour la première fois dès 2004, NetTraveler est un cheval de Troie largement utilisé dans les attaques ciblées. Nous pensons que cet attaquant opère depuis la Chine. En plus de la Russie, les régions visées comprennent les pays voisins tels que la Mongolie, la Biélorussie et d’autres pays européens. Les campagnes d’hameçonnage que nous avons détectées utilisent des liens vers des exécutables compressés au format RAR et des pièces jointes Microsoft Word qui exploitent la vulnérabilité CVE-2012- 0158.

Cette menace persistante avancée cible notamment les fabricants d’armes, les organisations de défense des droits humains et les groupes militant en faveur de la démocratie.

Contexte de NetTraveler

Nous avons déjà décrit les activités de ce même fraudeur dans le document « In Pursuit of Optical Fibers and Troop Intel ». Il agissait alors au moyen du logiciel malveillant PlugX pour cibler divers intérêts militaires et du secteur des télécommunications en Russie. Depuis janvier 2016, ce groupe s’appuie sur NetTraveler et a changé de cible, tout en conservant la plupart de ses tactiques, techniques et procédures (TTP). Il est important de noter que ce réseau, comme d’autres groupes de cyber-espionnage basés en Chine, a limité son utilisation de PlugX pour des raisons inconnues.

En effet, seuls quelques incidents majeurs impliquant PlugX ont été enregistrés cette année [5]. Par ailleurs, certains indices donnent à penser que ce réseau, ou des structures satellites, a eu recours à Saker, Netbot, DarkStRat et LURK0 Gh0st pour ses activités d’espionnage. Nous avions déjà évoqué cette hypothèse dans notre publication sur PlugX parue en 2015. Sur la base des outils et de l’infrastructure utilisés dans ces attaques, Palo Alto Networks a également démontré ces liens dans son étude sur MNKit, de même que Kaspersky et ESET dans leurs publications respectives.

Hameçonnage

L’une des techniques préférées de ce cybercriminel consiste à enregistrer des sites imitant des sites d’actualités ou militaires et à les utiliser pour prendre la commande et le contrôle (C&C) et héberger la charge virale. Quelques jours avant le lancement d’une vague d’hameçonnage, le fraudeur sélectionne un sujet d’actualité intéressant la victime, tel que l’énergie nucléaire, la formation militaire ou une question de géopolitique. Il trouve ensuite un article sur le sujet et l’utilise comme base pour son appât, auquel il ajoute les noms de fichier, les documents concernés servant de leurre, les fichiers images et un contenu d’e-mail.

Début février, par exemple, le pirate a envoyé par e-mail l’adresse URL www.info-spb[dot]com/analiz/voennye_kommentaria/n148584.rar à des victimes potentielles. Cette URL est liée à un fichier RAR qui contient l’exécutable « Нападение на американские космические системы очень дорого обойдется.scr »(soit en français “L’attaque des systèmes spatiaux américains coûtera très cher.scr“) et deux documents de leurre bénins. La figure 1 présente l’un de ces documents :

fig1
Figure 1 : Un des documents servant de leurre, « Новый щит и новый меч Вооруженные Силы России и США.doc » (« Nouvelles armes d’attaque et de défense en Russie et aux États-Unis.doc »)

La figure 2 montre l’article authentique ayant servi de base au leurre :

fig2
Figure 2 : Le document servant de leurre reprend le texte de cet article authentique décrivant les nouveaux ICBM russes

Les archives RAR hébergées dans des domaines factices contiennent toujours des exécutables SFX compressés au format RAR qui chargent NetTraveler dans les ordinateurs des victimes ciblées. Ci-après un échantillon des différents noms de fichier utilisés pour nommer les exécutables :

Indicateurs de compromission

tab1
Tableau 1 : Noms de fichier des exécutables au sein des archives RAR et leur traduction en anglais

Dans certains cas, au lieu d’envoyer des URL dans des e-mails de hameçonnage, les cybercriminels envoient des pièces jointes Microsoft Word reposant sur CVE-2012- 0158 pour exploiter le client et installer NetTraveler. Ces documents ont été générés avec MNKit, décrit en détail ici [4][6]. Par exemple, la pièce jointe « ПЛАН РЕАЛИЗАЦИИ ПРОЕКТА.doc » (« Plan de réalisation de projet.doc » en français) a été envoyée à des victimes potentielles en janvier 2016.

Comme l’indique la figure 3, divers éléments visibles dans le document révèlent l’utilisation d’un générateur :

fig3
Figure 3 : Éléments créés par le générateur MNKit dans le document d’exploitation, notamment la valeur du champ LastAuthor (Dernière modification par) : User123

Autres pays visés

Outre la Russie ciblée par NetTraveler, le fraudeur semble également s’intéresser à la Mongolie. Bien que nous n’ayons pas obtenu d’e-mails de hameçonnage pour ces exemples, nous avons trouvé certaines charges virales utilisant des leurres et des appâts provenant de Mongolie. Par exemple, le fichier 13_11.rar trouvé le 11 mars contient une charge virale NetTraveler associée à un nom de fichier mongol : « НИЙГМИЙН ДААТГАЛЫН ЕРӨНХИЙ ГАЗАР.exe » (Assurance sociale générale Gazar.exe) et à un fichier PDF de leurre portant le même nom. Dans cet exemple, le serveur de commande et contrôle (C&C), www.mogoogle[dot]com, est converti en l’adresse IP 103.231.184[.]164, le dernier octet de cette adresse IP étant seulement incrémenté d’une unité par rapport à l’adresse IP utilisée pour les charges virales NetTraveler visant la Russie.

fig4
Figure 4 : PDF leurre utilisé avec le contenu NetTraveler ciblant la Mongolie

Un autre exemple datant du 20 avril, basé sur un nom de fichier russe : « Главный редакторSputnik–Турция в среду вернется в Москву.rar » (« Le rédacteur en chef de Sputnik-Turquie retourne à Moscou mercredi.doc.scr »), contient une charge virale NetTraveler associée à un fichier leurre au format JPG. Le fichier image est une photo d’un formulaire en langue turque, « Formulaires inacceptables de collecte d’informations sur les passagers ». Cet exemple réutilise le domaine C&C www.mogoogle[dot]com. Ici, le leurre est fondé sur un article de l’agence de presse RIA (qui publie des articles en russe) paru le jour même, décrivant comment le rédacteur en chef de la filiale turque d’un grand service d’information multimédia russe, Sputnik, a été interdit d’entrée en Turquie au plus fort du différend opposant la Russie à la Turquie suite à la destruction en vol d’un avion russe. Ce contenu malveillant pourrait avoir été envoyé à des personnes russes ou turques.

fig5
Figure 5 : Fichier JPG leurre utilisé avec le contenu NetTraveler ciblant la Russie et/ou la Turquie

Un autre exemple encore, découvert le 13 mars, contenant un nom de fichier russe, « Совместное антитеррористическое учение “Антитеррор-2016”.rar »(« Formation anti-terroriste commune “Antiterror 2016”.scr »), inclut un contenu NetTraveler associé au serveur C&C www.voennovosti[dot]com. Le nom du fichier de cet exemple s’inspire d’un article biélorusse décrivant des exercices anti-terroristes effectués à Minsk, en Biélorussie, par des pays de la CEI (Communauté des États Indépendants). Ce contenu malveillant pourrait avoir été envoyé aux autorités nationales des pays participants tels que la Biélorussie, la Russie ou l’Ukraine.

Infrastructure

Le tableau suivant récapitule les domaines ayant hébergé les serveurs C&C et les charges virales tout au long de l’année. Tous les domaines (sauf mogoogle[dot]com) ont été enregistrés auprès du même registraire à Beijing, « Shanghai Meicheng Technology Information Development Co., Ltd. ». Contrairement aux e-mails, les informations utilisées pour l’enregistrement ont été randomisées. Sur le plan de l’infrastructure, les similitudes sont nombreuses avec la campagne PlugX de 2015, que nous avions décrite dans l’article « In Pursuit of Optical Fibers and Troop Intel : Targeted Attack Distributes PlugX in Russia » (« À la poursuite des fibres optiques et du renseignement militaire : une attaque ciblée diffuse PlugX en Russie ») :

  • Enregistrement auprès de « Shanghai Meicheng Technology Information Development Co., Ltd. » ;
  • Utilisation de comptes d’inscrits à Yahoo ou GMail comportant entre 4 et 6 lettres ;
  • Utilisation de domaines C&C factices imitant des sites d’actualités ou des forums militaires connus ;
  • Adresse IP 98.126.38[.]107 servant à convertir les domaines utilisés lors des campagnes 2015 (notamment patriotp[dot]com) et 2016 (comme www.voennovosti[dot]com).
Analyse de NetTraveler

Les infections par NetTraveler utilisent toujours une technique de chargement parallèle de DLL. Les charges virales décrites ici reposent soit sur l’exécutable authentique fsguidll.exe (composant GUI F-Secure) pour charger en parallèle fslapi.dll, soit sur l’exécutable authentique RasTIs.ex pour charger en parallèle rastls.dll.

Le fichier de configuration utilisé par NetTraveler utilise un format connu. Par exemple, la charge virale déposée par 20160623.doc (Cf. tableau des indicateurs de compromission) utilise la configuration suivante, où U00P est un serveur C&C, K00P une clé DES composée d’une chaîne de A successifs, P00D la période de veille et F00G le paramètre proxy. U00P et K00P sont chiffrés dans le fichier à l’aide d’un simple algorithme. Ces valeurs sont intégrées dans le fichier config.dat déposé dans l’ordinateur. De plus, les paramètres MM1 à MM6 (ne figurant pas ci-dessous) sont ajoutés après l’installation.

Conclusion

Depuis plus de 10 ans, les auteurs de menaces utilisent efficacement NetTraveler pour leurs activités de cyberespionnage. Les cibles vont des organismes du secteur public aux centrales nucléaires. Dans le cas présent, il semble que le réseau chinois vise des intérêts très divers, en Russie et dans les pays limitrophes, en s’appuyant sur des attaques de hameçonnage pour infecter des ordinateurs vulnérables avec NetTraveler. Quelles que soient les tactiques, techniques et procédures, cette menace persistante avancée (APT) souligne la résistance de NetTraveler et la nécessité de poursuivre à la fois notre vigilance et nos mesures de protection technologiques contre ces APT. Même les entreprises sans lien direct avec le secteur public représentent des cibles potentielles de ce type d’attaque, puisque les petites agences ou les sous-traitants peuvent servir de têtes de pont dans le cadre de campagnes à grande échelle contre des cibles indirectement liées.