L'une des vulnérabilités corrigées par Microsoft mardi dernier était exploitée par un groupe de cyberespions chinois depuis le mois d'août, au moins. Les campagnes d'attaque visaient des entreprises IT, des entreprises de défense et des entités diplomatiques. Selon les chercheurs de Kaspersky Lab, le logiciel malveillant déployé avec l'exploit et son infrastructure de commande et de contrôle indiquent un lien avec un groupe APT chinois connu, dénommé IronHusky, détecté en 2017 par Kaspersky, mais aussi un lien avec d'autres activités APT basées en Chine remontant à 2012.

Une vulnérabilité d'élévation de privilèges dans le pilote GDI de Windows

L’activité du groupe a été observée au cours de l’exploitation d’une vulnérabilité inconnue jusqu'alors dans Win32k.sys, un pilote système faisant partie de l'interface GDI (Graphics Device Interface) de Windows, dans lequel des vulnérabilités ont déjà été trouvées par le passé. La faille, répertoriée sous la référence CVE-2021-40449, affecte toutes les versions de Windows supportées et celles qui ne le sont plus, et permet d'exécuter du code avec les privilèges du système. Étant donné qu’il s'agit d'une vulnérabilité d'élévation de privilèges, elle n'est utilisée que pour prendre le contrôle complet des systèmes ciblés, mais ne constitue pas la méthode d'entrée initiale.

L'exploit utilisé dans les attaques emprunte le code d'un exploit public pour une autre vulnérabilité de Wink32k portant la référence CVE-2016-3309, et corrigée en 2016. Même si l'exploit a été écrit pour prendre en charge toutes les versions de Windows depuis Vista, les chercheurs de Kaspersky ont constaté qu'il était utilisé uniquement sur des serveurs Windows. « Dans l'exploit découvert, les attaquants parviennent à obtenir l'état souhaité de la mémoire avec l'utilisation d'objets de palette GDI et à utiliser un seul appel à une fonction du noyau pour construire une primitive de lecture et d'écriture de la mémoire du noyau », ont déclaré les chercheurs dans leur rapport. « Cette étape est facilement accomplie, car le processus d'exploitation est exécuté avec Medium IL et il est donc possible d'utiliser des techniques connues de tous pour faire fuiter les adresses de kernel des pilotes/modules du noyau déjà chargés. À notre avis, il serait préférable que les processus Medium IL aient un accès limité à des fonctions comme NtQuerySystemInformation ou EnumDeviceDrivers. »

Zoom sur MysterySnail RAT

Les pirates ont utilisé l'exploit d'élévation de privilèges pour déployer un cheval de Troie shell à distance (Remote Access Trojan, RAT), baptisé MysterySnail par Kaspersky. Les attaquants peuvent utiliser ce programme malveillant pour exécuter des commandes shell Windows, recueillir des informations sur les disques et les dossiers, supprimer, lire et télécharger des fichiers, tuer des processus, etc. Un échantillon du malware téléchargé pour la première fois dans la base de données VirusTotal le 10 août dernier se distingue par sa taille inhabituellement élevée de 8,29 Mo. En effet, le malware contient une version autonome de la bibliothèque OpenSSL, qu'il utilise pour les communications cryptées, et deux fonctions très volumineuses qui ne font que gaspiller les cycles d'horloge du processeur et sont probablement destinées à échapper à l'émulation et à la détection antivirus.

Une autre caractéristique intéressante de ce malware, c’est qu’il essaye de tunneliser ses communications via un serveur proxy si la connexion directe au serveur de commande et de contrôle est bloquée. Pour y parvenir, il énumère les valeurs de la clé de registre « Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ». « L'analyse du cheval de Troie MysterySnail RAT nous a permis de découvrir des campagnes utilisant d'autres variantes du malware analysé, et d'étudier et de documenter les modifications de code apportées à cet outil sur une période de six mois », ont également indiqué les chercheurs. « Avec l'aide du moteur Kaspersky Threat Attribution Engine (KTAE) et la découverte des premières variantes de MysterySnail RAT, nous avons pu trouver des similitudes évidentes du code et des fonctionnalités avec le malware attribué au groupe IronHusky ».

Cela fait depuis 2017 que le groupe APT IronHusky basé en Chine mène des campagnes de cyberespionnage, et ses précédentes cibles semblent liées à un contexte géopolitique. Par exemple, en 2018, le groupe avait ciblé des entités gouvernementales mongoles, qui ne sont pas une cible très courante, avant une réunion avec le Fonds monétaire international. Auparavant, le groupe avait ciblé des entrepreneurs militaires russes. À l'époque, IronHusky utilisait des chevaux de Troie prêts à l'emploi comme PlugX et PoisonIvy, catactéristiques de l'activité des APT de langue chinoise.