Logiciel malveillant MESSAGEMANIFOLD

Le logiciel malveillant MESSAGEMANIFOLD est une souche de malware nouvellement découverte observée dans le cadre de l'arsenal d'un groupe de hackers encore non identifié. La dernière campagne qui a déployé la menace des logiciels malveillants a été exploitée contre la communauté tibétaine, mais plus tôt cette année, en mai 2020, MESSAGEMANIFOLD a été observé ciblant les législateurs taïwanais.

La chaîne d'attaque de la menace commence par la diffusion d'e-mails de spear-phishing très ciblés. Pour obtenir le maximum d'engagement des cibles sélectionnées, les courriels ont été conçus pour apparaître comme des invitations à des activités importantes pour la communauté tibétaine, telles que des conférences. Le corps des e-mails contenait un ou deux liens Google Drive qui ont initié un téléchargement d'exécutables corrompus portant le nom «dalailama-Invitations.exe». Les fichiers ont agi comme des compte-gouttes de première étape - lors de l'exécution, un faux message d'erreur Windows s'affiche pour détourner l'attention du fait qu'un deuxième exécutable est déposé dans le dossier «C: \ users | Public». La connexion avec l'infrastructure Command-and-Control (C2, C&C) est établie via des requêtes HTTP POST. Les chercheurs d'Infosec ont déterminé qu'une réponse spécifique du serveur C2 peut être nécessaire avant que le logiciel malveillant puisse passer à l'étape suivante de l'infection.

Les deux campagnes observées pour impliquer le logiciel malveillant MESSAGEMANIFOLD affichent de nombreux chevauchements entre elles, ce qui suggère que le même groupe de pirates informatiques est responsable des deux. Par exemple, tous les domaines impliqués dans les campagnes étaient hébergés sur AS 42331 (PE Freehost) et AS 42159 (Zemlyaniy Dmitro Leonidovich), disponibles à l'achat via Deltahost, un fournisseur d'hébergement ukrainien. La prise de l'adresse e-mail «diir.tibet.net@mail.ru» qui a été utilisée pour enregistrer les deux domaines C2 a conduit les chercheurs d'Insikt Group à la découverte de trois domaines supplémentaires sur le thème du Tibet - in-tibet.net, mail-tibet .net et dalailama.online. Tous les domaines découverts ont été enregistrés auprès du même revendeur de domaine - Domenburg.

Les aspects particuliers des deux campagnes d'attaque soutiennent l'hypothèse selon laquelle le groupe de pirates derrière elles pourrait être parrainé par l'État. En effet, la nature très ciblée des victimes, le faible volume d'opérations attribué au groupe et le manque apparent de motivation financière confortent cette théorie. En outre, l'importance stratégique des cibles et le fait que Taiwan et la région tibétaine ont longtemps été des centres d'intérêts chinois concentrés pourraient également être un indice important pour déterminer les allégeances des pirates.