Depuis le début de l’année 2023, une augmentation des activités présumées de cybercriminalité chinoise impliquant la diffusion de logiciels malveillants par courrier électronique a été observée..
Entre autres choses, le cheval de Troie d'accès à distance Sainbox (RAT) a été utilisé, une variante du cheval de Troie de base Gh0stRAT. Le malware ValleyRAT nouvellement identifié a également été distribué dans le cadre de cette activité. Les campagnes observées étaient généralement de petite envergure et s’adressaient principalement à des entreprises mondiales ayant des succursales en Chine. Les lignes d'objet et le contenu des e-mails étaient généralement rédigés en chinois et étaient liés aux factures, aux paiements et aux nouveaux produits. Les utilisateurs ciblés par les auteurs portent pour la plupart des noms chinois écrits avec des caractères chinois appropriés ou utilisent des adresses e-mail d'entreprise spécifiques qui semblent être liées à des activités commerciales en Chine. La plupart des campagnes ciblaient les utilisateurs parlant chinois. Le fait que les cybercriminels ciblent également les entreprises japonaises indique que leurs activités sont en expansion.
Les activités récemment identifiées ont démontré des méthodes de diffusion flexibles, utilisant à la fois des techniques simples et modérément complexes. La plupart des e-mails contenaient des URL pointant vers des fichiers exécutables compressés. Le malware doit être installé à l’aide de ces fichiers exécutables. Cependant, Proofpoint a également observé que Sainbox RAT et ValleyRAT sont distribués via des pièces jointes Excel et PDF, qui contiennent à leur tour des URL vers des fichiers exécutables compressés.
Nouvelle tendance dans le paysage des menaces
Les experts de Proofpoint estiment qu'il existe un chevauchement des tactiques, techniques et procédures (TTP) entre les différentes campagnes de distribution Sainbox RAT et ValleyRAT. L'examen de groupes d'activités supplémentaires impliquant ces types de logiciels malveillants révèle une diversité d'infrastructures, de domaines d'expéditeur, de contenu de courrier électronique, de destinations et de charges utiles. Les experts concluent donc que l’utilisation des variantes du malware et les campagnes associées ne sont pas dues à un seul et même cluster, mais probablement à plusieurs groupes différents.
Le fait que de nouveaux logiciels malveillants chinois apparaissent de plus en plus souvent et que, dans le même temps, la propagation d’anciennes variantes de logiciels malveillants chinois s’accélère indique une nouvelle tendance dans le paysage des menaces. Le mélange de malwares historiques comme Sainbox - une variante de l'ancien malware Gh0stRAT - et de types récemment découverts comme ValleyRAT pourrait briser la domination de la Russie dans l'environnement de la cybercriminalité. Cependant, les logiciels malveillants chinois ciblent actuellement principalement les utilisateurs qui parlent chinois. L'analyse désormais réalisée par Proofpoint fournit aux responsables de la sécurité plusieurs indicateurs pour détecter les compromissions et identifier les nouvelles menaces.
Gh0stRAT / Sainbox
Les experts de Proofpoint ont pu observer la propagation croissante d’une variante Gh0stRAT. C'est ce qu'on appelle Sainbox par Proofpoint. Sainbox a été identifié pour la première fois par Proofpoint en 2020 et est parfois appelé FatalRAT par d'autres chercheurs en sécurité. Depuis avril 2023, Proofpoint a identifié près de 20 campagnes utilisant Sainbox, après des années de disparition complète du paysage des menaces par courrier électronique.
Gh0stRAT est un cheval de Troie d'accès à distance observé pour la première fois en 2008. Le constructeur de ce RAT est disponible en ligne et le code source est également accessible au public. Au fil des années, Gh0stRAT a été modifié selon diverses variantes par plusieurs auteurs et groupes de cybercriminalité. Cela inclut également des variantes ramifiées telles que Sainbox. En 2023, Proofpoint a également observé une poignée de campagnes en langue chinoise distribuant des variantes plus anciennes de Gh0stRAT.
Presque toutes les campagnes Sainbox observées utilisaient le thème des factures comme appât. Les e-mails étaient généralement envoyés à partir d'adresses e-mail Outlook ou Freemail et contenaient des URL ou des pièces jointes Excel avec des URL pointant vers un fichier exécutable compressé qui serait utilisé pour installer Sainbox.
Par exemple, le 17 mai 2023, Proofpoint a observé une campagne ciblant des dizaines d’entreprises, dont la plupart étaient actives dans les secteurs manufacturier et technologique. La plupart des campagnes Sainbox RAT ont eu lieu entre décembre 2022 et mai 2023. Une analyse rétrospective des campagnes a également révélé une autre campagne dans les données Proofpoint qui utilisait des TTP similaires en avril 2022. Actuellement, Proofpoint peut identifier des campagnes supplémentaires associées à ce cluster d'activités.
Renard violet
Le composant malveillant Purple Fox est disponible depuis au moins 2018. Il est distribué par divers moyens, notamment par le passé via le Purple Fox Exploit Kit. Ces dernières années, il y a également eu des exemples de distribution de logiciels malveillants Purple Fox se faisant passer pour un installateur d'application légitime. Proofpoint a identifié au moins trois campagnes qui distribuaient Purple Fox. L'une des campagnes observées a utilisé le thème du projet de loi pour attaquer des organisations au Japon en japonais. Cela envoyait des pièces jointes LNK compressées destinées à installer Purple Fox, tandis que d'autres campagnes utilisaient le thème de facture dans des thèmes de facture chinois avec des URL menant à Purple Fox.
Proofpoint ne peut actuellement pas attribuer toutes les campagnes de malware chinoises au même groupe de cybercriminalité, mais certains groupes d'activités se chevauchent. Cela suggère que certains groupes utilisent la même infrastructure pour distribuer plusieurs familles de logiciels malveillants.
ValléeRAT
De plus, en mars 2023, Proofpoint a identifié un nouveau malware que les chercheurs en sécurité ont surnommé ValleyRAT. Les campagnes qui distribuaient ce malware étaient en chinois. Suivant la tendance d'autres campagnes de malware chinoises, les auteurs ont également eu recours au thème des factures relatives à diverses entreprises chinoises. Cette année, Proofpoint a observé au moins six campagnes diffusant le malware ValleyRAT.
Les experts ont pu observer la première campagne le 21 mars 2023. Les e-mails envoyés comprenaient une URL menant à un fichier exécutable compressé destiné à télécharger la charge utile ValleyRAT. Les campagnes ultérieures ont eu recours à des TTP, notamment à des fournisseurs de messagerie gratuite tels qu'Outlook, Hotmail et WeCom. Cela visait à distribuer les URL ayant conduit à l'installation de ValleyRAT. Cependant, dans au moins une campagne, le RAT a été distribué à l'aide d'un chargeur basé sur le langage de programmation Rust, qui fait actuellement l'objet d'études plus approfondies. Le chargeur a également téléchargé un outil légitime, EasyConnect, ainsi qu'une DLL trojanisée, qui a chargé et exécuté l'outil en utilisant l'ordre de recherche de DLL (high jacking). EasyConnect est une application VPN SSL qui permet l'accès et la gestion à distance des hôtes Windows. Les campagnes ultérieures de juin 2023 ont également eu recours à ces TTP.
Alors que la plupart des campagnes utilisaient des sujets de facturation comme appât, Proofpoint a observé une « valeur aberrante ». Le 24 mai 2023, des PDF de CV ont été envoyés contenant des URL pour télécharger une charge utile compressée afin d'installer ValleyRAT. L'analyse du ValleyRAT récemment découvert suggère qu'un groupe pourrait être à l'origine des nouvelles campagnes de logiciels malveillants ainsi que de la réémergence du anciennes variantes de logiciels malveillants Purple Fox et Sainbox.
Plus sur Proofpoint.com
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.