Bitdefender Labs a révélé l’existence d’une opération de cyberespionnage extrêmement sophistiquée, connue sous le nom de code RedClouds. Active depuis le début de l’année 2022, l’opération se déroule en Asie. Malgré une enquête approfondie, les experts de Bitdefender n’ont pas encore été en mesure de relier l’opération à des groupes connus, mais la complexité de cette opération est caractéristique des groupes APT, parrainés par un État, et les cibles correspondent aux intérêts d’acteurs de la menace basés en Chine.
L’une des découvertes les plus intrigantes de cette enquête est l’identification d’un nouveau logiciel malveillant personnalisé, baptisé RDStealer. Cet implant côté serveur est spécialisé dans la collecte de données, la capture du presse-papiers et l’enregistrement des touches. Il surveille également les connexions RDP (Remote Desktop Protocol) entrantes et peut compromettre une machine distante si le Client Drive Mapping (CDM) est activé. Logutil, un autre logiciel malveillant personnalisé à porte dérobée, est également déployé sur les clients RDP connectés. Il permet l’exfiltration de données sensibles telles que des informations d’identification et des clés privées.
Pour rappel, Remote Desktop Protocol (RDP) est un protocole propriétaire développé par Microsoft. Il fournit une interface graphique pour se connecter à un autre ordinateur via une connexion réseau. L’utilisateur active un client RDP à cette fin, tandis que l’autre ordinateur doit exécuter un logiciel serveur RDP.
Des attaques qui visent les travailleurs distants
L’opération RedClouds représente le premier cas confirmé d’utilisation d’une méthode d’attaque qui jusqu’à présent théorisée par les spécialistes, mais jamais rencontrée sur le terrain. RDStealer est spécialisé dans la collecte de données, notamment la capture du contenu du presse-papiers et l’enregistrement des frappes. Cependant, sa capacité à surveiller les connexions RDP entrantes et à compromettre les machines distantes, si le CDM est activé, est particulièrement intéressante. Le CDM est un canal virtuel au sein du protocole RDP, qui facilite le transfert de données entre le client RDP et le serveur, entre autres fonctions.Ces attaques visent les travailleurs distants et les utilisateurs, quel que soit le système utilisé. « Compte tenu des possibilités d’adaptation de cette méthode pour cibler différentes plateformes informatiques, avec un minimum d’ajustements, ainsi que de l’adoption massive de ces solutions pendant la pandémie de Covid-19 », Bitdefender a rendu cette recherche publique afin de sensibiliser le public.
Sideloading de DLL : une technique de furtivité
Le chargement latéral de DLL ou DLL Sideloading, qui a été de plus en plus adopté comme technique de furtivité ces dernières années, est porté ici à un degré sans précédent. Le Sideloading est le processus de transfert local de fichiers et de programmes d’un appareil à un autre. Il peut s’agir de connecter un ordinateur à un smartphone ou à une tablette. Dans les cas malveillants, le Sideloading désigne la pratique consistant à installer un logiciel sur un appareil sans passer par la boutique d’applications approuvée ou le canal de distribution du logiciel. Certains appareils le permettent sans modification, tandis que d’autres doivent être « jailbreakés » pour que le sideloading soit possible. En cybersécurité, il fait référence à l’exécution par procuration d’une DLL malveillante via un binaire bénin planté dans le même répertoire. Cela peut être similaire au détournement d’ordre de recherche de DLL.Ainsi, pour assurer sa furtivité, l’attaque RedClouds recourt à des subterfuges complexes, en enchaînant plusieurs bibliothèques DLL et en utilisant de manière experte le sous-système WMI pour lancer le processus de sideloading, de manière à ce que les emplacements choisis se fondent parfaitement dans le système. Les échantillons de logiciels malveillants RDStealer et Logutil sont tous deux codés dans le langage de programmation Go, connu pour sa robuste prise en charge multiplateforme. Il permet aux auteurs de logiciels malveillants de développer des codes qui s’exécutent sur plusieurs systèmes d’exploitation. « Notamment, lors de notre analyse des domaines liés à cette attaque, nous avons observé des références à Linux et ESXi, ce qui suggère que Logutil est un outil multiplateforme », affirment les auteurs du compte rendu.
Il s’adapte à l’évolution du paysage de la cyberdéfense
Les examens approfondis des données DNS passives, des échantillons VirusTotal et d’autres artefacts ont révélé que cet acteur de la menace opérait depuis au moins 2020. Au départ, il s’appuyait sur des outils accessibles au public comme AsyncRat ou Cobalt Strike, mais il s’est ensuite adapté à l’évolution du paysage de la cyberdéfense. Les entreprises utilisant de plus en plus les outils de détection, tels que l’EDR et l’XDR, il s’est tourné vers l’élaboration de logiciels malveillants personnalisés à partir de fin 2021 ou début 2022.L’objectif principal de cette opération semble être le vol d’informations d’identification et l’exfiltration de données. Pour échapper à la détection, les acteurs de la menace ont ingénieusement utilisé des dossiers moins suspects, souvent ignorés par les solutions de sécurité, tels que « %WinDir%\System32 », « %WinDir%\System32\wbem » et « %WinDir%\security\database ». Le logiciel malveillant a également été trouvé dans des dossiers imitant des logiciels légitimes, tels que certains répertoires %PROGRAM_FILES% et % PROGRAM_FILES_x86%. L’examen de l’inventaire du matériel a confirmé que les machines infectées étaient fabriquées par Dell.
En outre, des logiciels malveillants ont été découverts dans l’espace de stockage de la base de données de sécurité de Windows, « %WinDir%\security\database ». « Cette tactique s’appuie probablement sur les conseils de Microsoft, demandant d’exclure les fichiers spécifiques de cet emplacement des analyses des produits de sécurité des points terminaux », expliquent les chercheurs de Bitdefender. Les auteurs de la menace ont exploité le fait que certains administrateurs excluraient l’ensemble du dossier, créant ainsi au logiciel malveillant un endroit pour échapper à la détection.