Des acteurs APT liés à la Chine utilisent Daxin Stealthy Malware

By Posted on

Sécurité des applications, cybercriminalité, cybercriminalité en tant que service

Les logiciels malveillants ciblent divers gouvernements dans des attaques d’espionnage

Prajeet Naïr (@prajeetspeaks) •
1 mars 2022

Des acteurs APT liés à la Chine utilisent Daxin Stealthy Malware
Canal de communication caché Daxin (Source : Symantec)

La campagne de menaces en cours auparavant non documentée utilisant un logiciel malveillant baptisé Daxin a permis aux attaquants de mener des campagnes d’espionnage visant des entités des secteurs des transports, des télécommunications et de la fabrication qui ont attiré l’intérêt stratégique chinois, ont déclaré des chercheurs.

Voir également: Webinaire en direct aujourd’hui | Nuclear Ransomware 3.0 : Nous pensions que c’était mauvais, puis ça a empiré

L’équipe Symantec Threat Hunter, qui fait partie de Broadcom Software, a déclaré qu’elle travaillait avec la cyberdéfense collaborative avec l’agence américaine de cybersécurité et d’infrastructure pour aider à la détection et à la récupération de plusieurs gouvernements ciblés par le malware Daxin.

“Il existe des preuves solides suggérant que le malware Backdoor.Daxin, qui permet aux attaquants d’effectuer diverses opérations de communication et de collecte de données sur des ordinateurs infectés, est utilisé depuis novembre 2021 par des attaquants liés à la Chine”, ont déclaré les chercheurs.

Ils disent avoir trouvé un appareil lié à l’acteur espion chinois sur certains des ordinateurs utilisés par Daxin.

Un rapport de Symantec décrit Daxin comme l’un des logiciels malveillants les plus avancés que ses chercheurs ont vu utilisé par des acteurs liés à la Chine.

La CISA, dans un avis indépendant, avertit que le malware Daxin est une porte dérobée rootkit hautement sophistiquée avec des fonctions de commande et de contrôle complexes et silencieuses qui permettent aux acteurs distants de communiquer avec des appareils sécurisés qui ne sont pas directement connectés à Internet.

“Daxin semble être optimisé pour une utilisation contre des cibles renforcées, permettant aux acteurs de se plonger dans le réseau cible et d’extraire des données sans éveiller les soupçons”, a déclaré CISA.

Logiciel malveillant Daxin

L’équipe Symantec Threat Hunter a déclaré que Daxin se présente sous la forme d’un lecteur de noyau Windows et l’appelle un format rare pour les logiciels malveillants.

Les chercheurs affirment que Daxin fournit des fonctionnalités de communication avancées, qui assurent la furtivité et permettent aux attaquants de communiquer avec des machines infectées sur des réseaux sécurisés sans connexion Internet directe.

“Ces fonctionnalités rappellent Regin, un outil d’espionnage avancé découvert par Symantec en 2014 qui a été lié aux services de renseignement occidentaux”, ont déclaré les chercheurs.

Les capacités de Daxin suggèrent que les attaquants ont investi des efforts considérables dans le développement de techniques de communication qui pourraient mélanger l’invisible avec le trafic réseau normal sur le réseau cible, ont déclaré les chercheurs.

“Le logiciel malveillant évite de démarrer ses propres services réseau. Au lieu de cela, il peut abuser de tous les services légitimes déjà exécutés sur l’ordinateur infecté”, ont-ils déclaré, ajoutant qu’il le faisait en utilisant des tunnels réseau.

La porte dérobée de Daxin peut également transmettre ses communications sur un réseau informatique infecté dans une organisation attaquée. Les chercheurs disent qu’un attaquant pourrait choisir une route arbitraire sur un ordinateur infecté et envoyer une commande ordonnant à cet ordinateur d’établir la connexion demandée.

“Bien que l’ensemble des opérations reconnues par Daxin soit assez restreint, la valeur réelle pour un attaquant réside dans ses capacités de silence et de communication. Daxin est capable de communiquer en détournant des connexions TCP/IP légitimes. Pour ce faire, il surveille tout le trafic TCP entrant. pour certains modèles », a-t-il déclaré. ont déclaré les chercheurs.

Lorsqu’un tel schéma est détecté, Daxin déconnecte le récepteur valide et reprend la connexion. “Il effectue ensuite un échange de clé personnalisé avec un pair distant, où les deux parties suivent des étapes complémentaires”, ont déclaré les chercheurs.

L’utilisation par Daxin de connexions TCP détournées fournit des informations cachées à ses communications et établit une connectivité sur des réseaux avec des règles de pare-feu strictes. La porte dérobée pourrait également réduire le risque de découverte par les analystes du SOC qui surveillent les anomalies du réseau, ont déclaré les chercheurs.

Les chercheurs disent également que la fonctionnalité intégrée de Daxin peut être augmentée en utilisant des composants supplémentaires sur l’ordinateur infecté, fournissant un mécanisme de communication pour ces composants en mettant en œuvre un dispositif appelé “.Tcp4”.

“Des composants malveillants peuvent ouvrir ces appareils pour s’enregistrer pour la communication. Chaque composant peut associer un identifiant de service 32 bits à un support .Tcp4 ouvert. L’attaquant distant peut alors communiquer avec le composant sélectionné en spécifiant le service correspondant identifié. Lors de l’envoi. certains types de messages. Les pilotes incluent également un mécanisme pour renvoyer toutes les réponses “, ont déclaré les chercheurs.

Les activités de Daxin

Les chercheurs de Symantec, avec l’aide de l’équipe Threat Intelligence de PwC, ont identifié le placement de Daxin dans des organisations gouvernementales et d’autres entités des secteurs des télécommunications, des transports et de la fabrication.

L’attaque la plus récente impliquant Daxin a été détectée en novembre 2021, mais le premier échantillon de logiciel malveillant connu remonte à 2013 et inclut toutes les fonctionnalités avancées vues dans la dernière variante, de sorte que la majeure partie de la base de code a été entièrement développée.

“Nous pensons qu’avant de commencer le développement de Daxin, les attaquants expérimentaient depuis un certain temps des techniques qui faisaient partie de Daxin. Un malware plus ancien – Backdoor.Zala (alias Exforel) – contenait certaines fonctionnalités communes mais n’avait pas beaucoup des “Daxin semble construire une technique de réseau Zala, réutilisant une grande quantité de son propre code et partageant même certaines constantes magiques”, ont déclaré les chercheurs.

Ils disent que l’utilisation d’une méthode similaire suggère que les concepteurs de Daxin ont au moins accès à la base de code Zala et que les deux familles de logiciels malveillants sont utilisées par les mêmes acteurs, qui ne sont devenus actifs qu’en 2009.

“Lors d’une attaque de novembre 2019 contre une entreprise de technologie de l’information, les attaquants ont utilisé une session PsExec pour essayer d’abord d’utiliser Daxin avant d’utiliser Trojan.Owprox. Owprox était lié à Slug lié à la Chine (alias Owlproxy). En mai 2020, une activité malveillante impliquant ce dernier – à la fois Backdoor.Daxin et Trojan.Owprox s’est produit sur un ordinateur appartenant à une autre organisation, une société de technologie “, ont déclaré les chercheurs, liant l’utilisation d’outils chinois à l’utilisation de Daxin.

Related posts: