le 27 octobre 2020

Introduction

En Juillet 2020, nous avons publié une étude sur des attaques APT ayant ciblé des établissements gouvernementaux au Kazakhstan et au Kirghizistan, avec une analyse détaillée des logiciels malveillants trouvés dans les réseaux compromis. Dans le cadre de cette étude, les analystes de Doctor Web ont analysé et décrit quelques groupes de Trojans, notamment des exemplaires de la famille XPath. Nous avons également réussi à trouver un certain nombre de signes ayant permis de relier deux incidents qui semblaient indépendants l’un de l’autre à première vue. Dans les deux cas, les pirates ont utilisé des jeux de logiciels malveillants similaires, notamment les mêmes backdoors par lesquelles les contrôleurs de domaines dans les établissements touchés ont été contaminés.

Lors de l'examen, les analystes ont étudié des échantillons des backdoors multi-modulaires PlugX utilisés pour pénétrer dans l'infrastructure réseau. L'analyse a montré que certaines modifications de PlugX ont exploité les mêmes noms de domaine des serveurs de gestion que les autres backdoors déjà examinées et impliquées dans des attaques ciblées sur des bureaux en Asie centrale. La détection des programmes de la famille PlugX montre un éventuel rapport avec les incidents liés aux groupes APT chinois.

Selon nos informations, la présence non autorisée dans les deux réseaux a duré plus de trois ans, et les attaques ont pu être organisées par plusieurs groupes de pirates. Les enquêtes sur de tels incidents nécessitent un examen continu et assez long, il est donc difficile de les résumer dans le cadre d'une seule publication.

Le laboratoire viral de Doctor Web a reçu de nouveaux échantillons de logiciels malveillants détectés dans le réseau informatique d’une des institutions publiques infectés au Kirghizistan.

En plus des malwares décrits dans notre article précédent, le programme malveillant qui mérite une attention particulière est la porte dérobée ShadowPad. Diverses modifications de cette famille sont connus comme un outil de Winnti - un groupe APT probablement d'origine chinoise, actif depuis au moins 2012. Il est à noter que sur l'ordinateur examiné, la backdoor ShadowPad a été installée en parallèle avec la backdoor Farfli Farfli, les deux programmes malveillants consultant le même serveur de gestion. Sur le même ordinateur, nous avons trouvé quelques modifications de PlugX.

Dans cette étude, nous avons examiné les algorithmes des backdoors détectées. Une attention particulière est accordée aux similitudes dans le code des échantillons de ShadowPad et PlugX, ainsi qu’à certains points communs dans leur infrastructure réseau.

Liste des programmes malveillants détectés

Sur l'ordinateur contaminé les backdoors suivantes ont été détectées :

Pour de plus amples recherches, nous avons trouvé et analysé d'autres échantillons de la famille ShadowPad, pour examiner de plus près la similitude des backdoors des familles ShadowPad et PlugX:

• BackDoor.ShadowPad.3,
• BackDoor.ShadowPad.4 - modification de ShadowPad qui se trouvait dans un dropper auto-extractible WinRAR et qui téléchargeait un module non caractéristique de cette famille sous forme d'une bibliothèque DLL.

L'examen détaillé des échantillons de ShadowPad et leur comparaison avec les modifications précédemment étudiées de PlugX montre une forte similitude des principes de structures modulaires et des fonctionnements des backdoors des deux familles. Ces logiciels malveillants se ressemblent non seulement par leur concept global, mais également par des nuances dans leur code : certains techniques de développement, des idées et des solutions techniques sont quasiment identiques. Un fait important est que les deux portes dérobées se trouvaient dans le même réseau compromis d'une institution publique au Kirghizistan.

Vous trouverez des descriptions techniques détaillées des programmes malveillants détectés dans une version PDF de notre étude ainsi que dans la bibliothèque de virus Dr.Web.

• BackDoor.ShadowPad.1
• BackDoor.ShadowPad.3
• BackDoor.ShadowPad.4
• BackDoor.Farfli.122
• BackDoor.Farfli.125
• BackDoor.Siggen2.3243

Conclusion

Les données disponibles nous ont permis de conclure que les familles en question sont reliées entre elles. On peut suggérer qu’il s’agirait d’une simple copie d’un code et/ou envisager le fait que les deux malwares ont été développés par un même auteur ou par un même groupe d'auteurs. Dans le deuxième cas, il nous semble hautement probable qu'il y ait une évolution de PlugX vers une version renouvelée et modernisée de ShadowPad compte tenu du fait que le format de stockage des modules malveillants utilisés dans ce dernier empêche leur détection dans la mémoire vive.

Indicateurs de compromission