Un APT amer exploite une ancienne vulnérabilité de WinRAR dans de nouvelles attaques par porte dérobée

Un groupe de cyberespionnage connu sous le nom de Bitter (APT-Q-37), dont on pense qu'il opère depuis l'Asie du Sud, utilise de nouvelles méthodes sournoises pour installer un programme de porte dérobée malveillant sur des ordinateurs appartenant à des cibles de grande valeur.

Ce groupe a une longue histoire de vol d’informations sensibles auprès d’organisations, en particulier celles du gouvernement, des industries électriques et militaires dans des pays comme la Chine et le Pakistan.

Le Qi'anxin Threat Intelligence Centre a récemment exposé ces nouvelles attaques, qui visent à déployer une seule porte dérobée C# capable de télécharger et d'exécuter à distance d'autres logiciels nuisibles (fichiers EXE) sur la machine de la victime.

Selon les chercheurs, Bitter APT utilise au moins deux méthodes différentes pour déployer cette porte dérobée, notamment un faux fichier de conférence et un fichier d'archive.

La première méthode utilise un fichier Microsoft Office spécial, nommé ici « Nominated Officials for the Conference.xlam ». Lorsque la victime active les instructions intégrées (macros), un faux message d'erreur indiquant « Échec de l'analyse du fichier, contenu corrompu » s'affiche pour tromper l'utilisateur.

Pendant ce temps, la macro construit silencieusement le code de la porte dérobée C# à l'aide d'outils informatiques locaux (comme ceux du framework .NET ) pour le transformer en programme fonctionnel ( vlcplayer.dll ). De plus, les attaquants configurent une tâche planifiée à l'aide d'un script pour garantir que la porte dérobée reste active sur l'ordinateur, se connectant à une adresse web associée au groupe pour récupérer d'autres commandes.

Il s’agit de la méthode la plus sournoise des deux, impliquant un fichier compressé (archive RAR) qui exploite une ancienne faille non corrigée du logiciel WinRAR , dont la vulnérabilité exacte reste floue au moment de la rédaction.

Ce fichier RAR malveillant (intitulé Provision of Information for Sectoral for AJK.rar) contient un fichier Word d'apparence inoffensive ainsi qu'un fichier modèle caché et malveillant appelé Normal.dotm .

Si un utilisateur extrait cette archive, la faille permet à Normal.dotm de remplacer le fichier modèle réel sur son système. Lorsque la victime ouvre un document Word , le programme charge le modèle falsifié, qui se connecte ensuite à un serveur distant pour exécuter le programme de porte dérobée final ( winnsc.exe ), qui effectue les mêmes actions malveillantes que celui du mode 1.

Il est important de noter que les deux attaques installent finalement la même porte dérobée C# pour collecter les informations de base de l'appareil. Les chercheurs soulignent que l'infrastructure utilisée dans ces deux attaques distinctes, notamment les noms de domaine enregistrés en avril dernier, pointe fortement vers le groupe Bitter.

« Les deux attaques ci-dessus utilisent finalement la même porte dérobée C#, et le serveur C&C de la communication de la porte dérobée pointe vers le sous-domaine de esanojinjasvc.com, qui a été enregistré en avril de cette année, nous pouvons donc supposer que ces échantillons proviennent du même groupe d'attaque », ont noté les chercheurs dans le billet de blog .

Pour rester en sécurité, le Centre exhorte les utilisateurs à être très prudents avec les pièces jointes inconnues des e-mails, à maintenir les logiciels comme WinRAR à jour, à désactiver les macros , à surveiller le trafic réseau pour détecter toute activité suspecte et à utiliser des outils spécialisés comme un bac à sable pour inspecter en toute sécurité les fichiers non fiables.