Crosswalk Backdoor

Les chercheurs d'Infosec ont découvert une menace de porte dérobée jusque-là inconnue utilisée dans une série d'attaques par un acteur de la menace basé en Chine. Les opérations menaçantes visaient principalement les développeurs et éditeurs de jeux vidéo de Hong Kong et de Russie. Au cours des quatre attaques distinctes, les pirates ont utilisé plusieurs souches de logiciels malveillants différentes, ce qui a rendu plus difficile l'attribution de la campagne à un acteur de la menace particulier.

En mai 2020, les pirates ont lancé deux attaques distinctes. La première s'appuyait sur des raccourcis LNK qui récupéraient et exécutaient la charge utile menaçante finale, tandis que la deuxième opération utilisait une chaîne d'attaque un peu plus sophistiquée. Les pirates ont distribué des e-mails contenant une archive RAR menaçante en pièce jointe. À l'intérieur de l'archive se trouvaient deux raccourcis vers des fichiers PDF qui agissaient comme des leurres prétendant être un CV et un certificat IELTS. Le véritable objectif des raccourcis était de se connecter à Zeplin, un outil légitime utilisé par les développeurs pour des collaborations. Les pirates ont hébergé sur Zeplin leur charge utile finale, qui consistait en un fichier de chargement de shellcode - «svchast.exe», et Crosswalk, un malware de porte dérobée se cachant dans un fichier nommé «3t54dE3r.tmp».

Crosswalk n'est pas une nouvelle souche de logiciels malveillants, car elle a été détectée pour la première fois en 2017. Au fond, la menace est une porte dérobée modulaire extrêmement rationalisée capable de mener des activités de reconnaissance sur des ordinateurs compromis. En raison de sa nature modulaire, cependant, la fonctionnalité de Crosswalk peut être adaptée à l'agenda particulier des cybercriminels en récupérant des modules supplémentaires de l'infrastructure Command-and-Control (C2, C&C) de la campagne sous forme de shellcode.

Trouver le groupe derrière les attaques

Le déploiement de Crosswalk a finalement donné aux chercheurs d'Infosec la confiance nécessaire pour relier les attaques au groupe de hackers chinois connu sous le nom d' APT41 ou Winnti. En effet, à en juger uniquement par les aspects de l'attaque initiale, les signes pointaient principalement vers les pirates coréens appartenant au groupe Higaisa, connus pour utiliser les raccourcis LNK dans leurs opérations. La présence de Crosswalk et un certain chevauchement des infrastructures entre les campagnes précédentes de Winnti et ces séries d'attaques ont dissuadé les chercheurs de leur conjecture originale et les ont dirigés vers le coupable probable. Les cibles sont également cohérentes avec les anciennes victimes de Winnti qui opéraient également dans l'industrie du jeu vidéo.

L'activité actuelle du groupe est toujours en cours. Dans les attaques les plus récentes, la charge utile du malware déployé a de nouveau changé. Jusqu'à présent, des archives RAR menaçantes portant une variante du Cobal Strike Beacon ont été observées dans certains cas. Dans d'autres, les pirates ont exploité des certificats compromis d'une société taïwanaise appelée Zealot Digital pour lancer des grèves contre les victimes à Honk Kong, en livrant Crosswalk et Metasploit . Une pléthore d'autres logiciels malveillants a également été militarisée, notamment ShadowPad, Paranoid PlugX et FunnySwitch, une menace de porte dérobée .NET auparavant inconnue.