Les organisations gouvernementales et de télécommunications à travers l’Afrique, le Moyen-Orient et l’Asie sont devenues la cible d’un acteur d’État-national à l’État national non sans papiers sur doublé Taurus fantôme Au cours des deux dernières années et demie.
“Les principaux domaines d’intervention de Phantom Taurus comprennent les ministères des affaires étrangères, des ambassades, des événements géopolitiques et des opérations militaires”, a déclaré le chercheur de Palo Alto Networks 42, Lior Rochberger. “L’objectif principal du groupe est l’espionnage. Ses attaques démontrent la furtivité, la persistance et la capacité d’adapter rapidement leurs tactiques, techniques et procédures (TTP).”
Il convient de souligner que le groupe de piratage a été détaillé pour la première fois par la société de cybersécurité en juin 2023 sous le surnom CL-Sta-0043. En mai dernier, le cluster de menaces a été diplômé dans un groupe temporaire, TGR-Sta-0043, à la suite de révélations sur ses efforts de cyber-espionnage soutenus destinés aux entités gouvernementales depuis au moins 2022 dans le cadre d’une campagne a nommé l’opération Diplomatic Spectre.
L’unité 42 a déclaré que son observation continue du groupe avait donné suffisamment de preuves pour la classer comme un nouvel acteur de menace dont le principal objectif est de permettre la collecte à long terme des renseignements et d’obtenir des données confidentielles à partir de cibles qui présentent un intérêt stratégique pour la Chine, à la fois économiquement et géopolitiquement.
“Le groupe s’intéresse aux communications diplomatiques, aux renseignements liés à la défense et aux opérations des ministères gouvernementaux critiques”, a indiqué la société. “Le moment et la portée des opérations du groupe coïncident fréquemment avec les principaux événements mondiaux et les affaires de sécurité régionale.”
Cet aspect est particulièrement révélateur, notamment parce que d’autres groupes de piratage chinois ont également adopté une approche similaire. Par exemple, un nouvel adversaire suivi par un avenir enregistré comme RedNovember est évalué comme ayant ciblé des entités à Taïwan et au Panama à proximité des “événements géopolitiques et militaires de l’intérêt stratégique clé pour la Chine”.
Le modus operandi de Phantom Taurus se démarque également en raison de l’utilisation d’outils et de techniques développés sur mesure rarement observés dans le paysage des menaces. Cela comprend une suite malveillante sur mesure sans vue auparavant surnommée Net-Star. Développé dans .NET, le programme est conçu pour cibler les serveurs Web Internet Information Services (IIS).
Cela dit, l’équipe de piratage s’est appuyée sur une infrastructure opérationnelle partagée qui a été précédemment employée par des groupes comme AT27 (alias Iron Taurus), APT41 (aka Starchy Taurus ou Winnti) et Mustang Panda (aka Stately Taurus). À l’inverse, les composants d’infrastructure utilisés par l’acteur de menace n’ont pas été détectés dans les opérations effectuées par d’autres, indiquant une sorte de «compartimentation opérationnelle» dans l’écosystème partagé.
Le vecteur d’accès initial exact n’est pas clair, mais les intrusions antérieures ont des services d’information sur Internet vulnérables sur site (IIS) et des serveurs d’échange Microsoft, abusant de défauts comme Proxylogon et Proxyshell, pour infiltrer les réseaux cibles.
Une autre facette importante des attaques est le passage de la collecte de courriels au ciblage direct des bases de données à l’aide d’un script de lot qui permet de se connecter à une base de données SQL Server, d’exporter les résultats sous la forme d’un fichier CSV et de terminer la connexion. Le script est exécuté à l’aide de l’infrastructure Windal Instrumentation (WMI) Windows Management Instrumentation (WMI).
L’unité 42 a déclaré que l’acteur de menace avait utilisé cette méthode pour rechercher méthodiquement des documents d’intérêt et des informations liées à des pays spécifiques tels que l’Afghanistan et le Pakistan.
Les attaques récentes montées par Phantom Taurus ont également exploité Net-Star, qui se compose de trois dérives sur le Web, chacune remplie une fonction spécifique tout en maintenant l’accès à l’environnement IIS compromis –
- Iiservercoreune porte dérobée modulaire sans fidèle chargée au moyen d’un shell Web ASPX qui prend en charge l’exécution en mémoire des arguments en ligne de commande, des commandes arbitraires et des charges utiles, et transmet les résultats dans un canal de communication de commande et de contrôle crypté (C2)
- AssemblyExecuter v1qui charge et exécute des charges utiles .NET supplémentaires en mémoire
- AssemblyExecuter v2une version améliorée de AssemblyExEcuter V1 qui est également équipée de la possibilité de contourner l’interface de balayage anti-anti-logiciels (AMSI) et le traçage des événements pour Windows (ETW)
“La suite de logiciels malveillants net-star démontre les techniques d’évasion avancées de Phantom Taurus et une compréhension approfondie de l’architecture .NET, représentant une menace importante pour les serveurs orientés Internet”, a déclaré l’unité 42. “Iiservercore prend également en charge une commande appelée ChangeLastModified.
