04 Jan
Introduction
Les menaces cybernétiques évoluent constamment, et les groupes de hackers sophistiqués comme Transparent Tribe, aussi connus sous le nom d’APT36, démontrent la complexité de cet univers. Depuis au moins 2013, ce groupe poursuit ses objectifs d’espionnage cybernétique en ciblant des entités gouvernementales, académiques et stratégiques, principalement en Inde. Avec l’introduction de nouveaux chevaux de Troie à accès distant (RAT), cet acteur accroît son arsenal, ce qui exige une vigilance accrue de la communauté internationale.
Une Campagne de Hameçonnage Plus Sophistiquée
Le point de départ de ces attaques récentes a été un courriel d’hameçonnage comprenant une archive ZIP malveillante. À l’intérieur, un fichier LNK déguisé en fichier PDF, combiné à un document HTML distant (HTA) activé via mshta.exe, a permis de déployer un cheval de Troie avancé avec une efficacité redoutable.
C’est grâce à des techniques comme l’utilisation des ActiveX Objects pour profiler l’environnement et manipuler l’exécution en temps réel que le malware s’assure une compatibilité accrue avec les systèmes ciblés. Et pour éviter de soulever les soupçons, un document PDF leurre est affiché.
Une Adaptation aux Solutions Antivirus
Un aspect sophistiqué de ce malware est son adaptation selon l’antivirus détecté. Par exemple, si Kaspersky est repéré, il crée un répertoire de travail masqué et s’assure une persistance par l’ajout d’un fichier LNK dans le répertoire de démarrage. Avec Quick Heal, il utilise un combo de fichiers batch et LNK pour assurer son exécution continue. Des adaptations similaires existent pour d’autres solutions comme Avast, AVG et Avira. Enfin, si aucun antivirus n’est détecté, le malware utilise des méthodes alternatives comme la modification du Registre Windows.
Fonctions du RAT : Commandes et Contrôle
Le fichier HTA final déploie une DLL nommée ‘iinneldc.dll’ qui fournit des fonctionnalités étendues : contrôle à distance, gestion de fichiers, exfiltration de données, capture d’écran, manipulation du presse-papiers, contrôle de processus, et bien plus encore. Ces fonctionnalités permettent des actions criminelles ciblées et précises.
Utilisation Malicieuse de Documents Apparemment Légitimes
Une autre attaque récemment attribuée à APT36 utilise un fichier LNK masqué en PDF intitulé ‘NCERT-Whatsapp-Advisory.pdf.lnk’. Cette attaque distribue un chargeur .NET pour exécuter des commandes à distance, surveiller le système et établir un accès durable. Le document PDF légitime affiché comme leurre émanait du CERT national du Pakistan.
L’Infrastructure C2 et Persistence
Les infrastructures de commande et de contrôle (C2) jouent un rôle central dans les campagnes d’APT36. Par exemple, certaines DLL comme ‘wininet.dll’ établissent des communications chiffrées avec les réseaux C2 pour recevoir les commandes des attaquants et envoyer des informations exfiltrées. Ces chaînes d’infection incluent des mécanismes pour contourner les détecteurs classiques.
Patchwork : Une Menace Connexte
Patchwork, un groupe suspect également indien, cible la défense pakistanaise avec des outils similaires comme StreamSpy. Ce cheval de Troie basé sur WebSocket partage des comparaisons notables avec d’autres outils utilisés par APT36 et des groupes apparentés. Ces chevauchements complexes d’outils montrent comment différentes entités peuvent partager ou recycler des codes malveillants dans leurs campagnes d’espionnage.
Conseils pour Se Protéger
Pour les organisations potentiellement ciblées, plusieurs mesures sont recommandées :
- Mettre à jour régulièrement les antivirus et systèmes d’exploitation.
- Former les employés à repérer des tentatives de phishing.
- Adopter une stratégie de cybersécurité basée sur le principe du Zero Trust (zéro confiance).
- Auditer fréquemment les accès réseau et système.
Conclusion
APT36, ou Transparent Tribe, illustre l’importance croissante d’une veille cybersécuritaire proactive. Avec ses techniques avancées et sa capacité d’adaptation, ce groupe représente une menace constante pour les organisations, en particulier dans la région Asie du Sud. Lynx Intel reste un partenaire clé pour comprendre et anticiper ce type de risque grâce à une veille stratégique et des solutions sur mesure. Contactez-nous pour sécuriser vos systèmes efficacement contre les menaces évolutives.
