L'arsenal évolutif d'APT37: ScarCruft de Corée du Nord déploie de nouveaux outils pour l'infiltration de réseaux air-gappés

Blog Actualités générales Tous les auteurs Tous les tags
Désolé, le contenu de cette page n'est pas disponible dans la langue que vous avez sélectionnée
Alex Vance

Introduction à APT37 et au paysage des menaces en évolution

APT37, également connu sous les noms de ScarCruft, Ricochet Group et Group123, est un acteur de menace étatique très sophistiqué originaire de Corée du Nord. Historiquement, ce groupe de menace persistante avancée a principalement ciblé des individus et des organisations d'intérêt stratégique, y compris des transfuges nord-coréens, des journalistes, des militants des droits de l'homme, des entités gouvernementales, des sous-traitants de la défense et des plateformes d'échange de crypto-monnaies. Leurs objectifs opérationnels tournent généralement autour de la collecte de renseignements, du vol de propriété intellectuelle et des gains financiers pour soutenir les activités illicites du régime.

La communauté de la cybersécurité suit depuis longtemps les tactiques, techniques et procédures (TTP) adaptatives d'APT37. Des découvertes récentes par les chercheurs en sécurité de Zscaler ThreatLabz indiquent une expansion significative de la boîte à outils d'APT37, avec la découverte de cinq nouveaux outils, précédemment non documentés. Ce développement souligne la poursuite incessante du groupe de capacités avancées, en particulier celles conçues pour surmonter des mesures de sécurité rigoureuses, y compris le défi formidable de brècher les réseaux air-gappés. Cet article explore les implications de ces nouveaux outils et la menace évolutive qu'ils représentent.

Le Modus Operandi d'APT37: Une menace persistante et adaptative

La méthodologie opérationnelle d'APT37 se caractérise par sa persistance, sa furtivité et une approche multi-étapes de la compromission. Leurs attaques sont méticuleusement planifiées, exploitant souvent une combinaison d'ingénierie sociale et d'exploits techniques.

Vecteurs d'accès initiaux

La compromission initiale commence souvent par des campagnes de spear-phishing très ciblées, où des documents ou des liens malveillants sont conçus pour exploiter des vulnérabilités connues ou inciter les victimes à exécuter des logiciels malveillants. Les attaques de type 'watering hole', où des sites web légitimes fréquemment visités par les cibles sont compromis pour servir des logiciels malveillants, sont également un classique. De plus, APT37 a démontré sa compétence dans l'exploitation de vulnérabilités N-day dans des logiciels largement utilisés et a été impliqué dans des compromissions de la chaîne d'approvisionnement pour s'implanter dans les environnements cibles.

Persistance et mouvement latéral

Une fois l'accès initial obtenu, APT37 se concentre sur l'établissement de mécanismes de persistance robustes. Cela implique souvent la modification des registres système, la création de tâches planifiées ou le déploiement de rootkits sophistiqués pour assurer un accès à long terme. Le mouvement latéral au sein d'un réseau compromis est exécuté avec précision, en tirant parti des identifiants volés, en exploitant les vulnérabilités internes et en déployant des portes dérobées personnalisées. Leur objectif est de cartographier le réseau, d'identifier les actifs de grande valeur et de préparer l'exfiltration des données.

Les cinq nouveaux outils: Plongée profonde dans la boîte à outils élargie d'APT37

La découverte de cinq nouveaux outils par Zscaler ThreatLabz marque une amélioration significative des capacités opérationnelles d'APT37, spécifiquement adaptées aux scénarios d'infiltration plus complexes, y compris les réseaux air-gappés. Bien que les noms spécifiques de ces outils n'aient pas été divulgués publiquement, leurs fonctionnalités inférées suggèrent un accent sur la reconnaissance avancée, la mise en scène des données, l'exfiltration furtive et l'anti-forensique.

  • Module de reconnaissance et de découverte avancée: Cet outil se concentre probablement sur l'énumération complète du réseau, la cartographie de la topologie du réseau, l'identification des appareils connectés, des comptes d'utilisateurs et des référentiels de données sensibles. Il serait crucial pour comprendre l'environnement cible avant une tentative de brèche air-gap à grande échelle.
  • Utilitaire de mise en scène et d'obscurcissement des données: Conçu pour préparer les données collectées à l'exfiltration, cet utilitaire crypterait, compresserait et potentiellement diviserait les données en morceaux plus petits et moins visibles. Il pourrait également utiliser des techniques d'obscurcissement sophistiquées pour échapper aux systèmes de prévention des pertes de données (DLP) et aux outils de surveillance du réseau.
  • Module d'exfiltration Air-Gap: C'est sans doute l'ajout le plus critique pour les brèches de réseaux air-gappés. Ce module faciliterait le transfert furtif de données mises en scène à travers l'air gap, en utilisant probablement des supports amovibles (clés USB), des appareils internes compromis qui comblent occasionnellement le fossé (par exemple, pour la maintenance), ou des techniques acoustiques/électromagnétiques très sophistiquées, bien que le premier soit plus courant.
  • Outil de collecte d'informations d'identification et d'élévation de privilèges: Bien qu'APT37 se soit toujours concentré sur le vol d'informations d'identification, ce nouvel outil signifie une capacité améliorée. Il utiliserait probablement des techniques avancées de keylogging, d'extraction de mémoire (par exemple, ciblant LSASS) et des techniques sophistiquées pour exploiter les vulnérabilités d'élévation de privilèges locales, assurant un accès plus profond au sein du réseau cible.
  • Cadre d'anti-forensique et d'évasion défensive: Pour maintenir la furtivité et entraver les efforts de réponse aux incidents, ce cadre se concentrerait sur la suppression des journaux, la modification des horodatages, le cryptage ou l'effacement des traces de logiciels malveillants, et l'emploi de fonctionnalités de rootkit pour masquer sa présence sur les systèmes compromis.

Brècher l'Air Gap: L'impératif stratégique d'APT37

Les réseaux air-gappés représentent l'apogée de la sécurité réseau, physiquement isolés des réseaux non sécurisés comme Internet. Ils sont généralement utilisés par les infrastructures critiques, les installations militaires et les organisations gérant des informations hautement classifiées. L'investissement d'APT37 dans des outils spécifiquement conçus pour les brèches air-gappées souligne leur impératif stratégique d'accéder aux données les plus sensibles et protégées.

Brècher un air gap est un processus en plusieurs étapes, souvent initié par la compromission d'un système connecté (par exemple, le poste de travail d'un employé ou l'ordinateur portable d'un entrepreneur) qui interagira finalement avec l'environnement air-gappé. L'ingénierie sociale, les attaques de la chaîne d'approvisionnement (par exemple, l'infection de logiciels ou de matériel légitimes) ou même les menaces d'initiés peuvent servir de vecteur initial. Les nouveaux outils entreraient alors en jeu, permettant la reconnaissance, la collecte de données et l'exfiltration éventuelle du réseau isolé.

Forensique numérique avancée et renseignement sur les menaces

L'enquête et l'attribution d'attaques sophistiquées par des groupes comme APT37, en particulier celles ciblant des réseaux air-gappés, nécessitent une approche avancée de la forensique numérique et du renseignement sur les menaces. L'inspection approfondie des paquets, une télémétrie complète de la détection et de la réponse aux points d'extrémité (EDR) et l'analyse comportementale sont primordiales pour identifier les anomalies et comprendre la chaîne d'attaque complète.

Dans le domaine de la réponse aux incidents et de l'attribution des acteurs de menaces, la compréhension du vecteur d'infection initial et des mouvements ultérieurs de l'attaquant est primordiale. Les outils permettant la collecte avancée de télémétrie peuvent être inestimables. Par exemple, des plateformes comme grabify.org, bien que souvent associées à un suivi de liens plus simple, peuvent être adaptées par les chercheurs pour collecter des données de télémétrie avancées – telles que les adresses IP, les chaînes User-Agent, les détails du FAI et les empreintes digitales des appareils – à partir d'interactions suspectes. Ces données granulaires, lorsqu'elles sont corrélées avec d'autres artefacts forensiques, aident considérablement à cartographier l'infrastructure d'attaque et à comprendre les TTP de l'adversaire, allant au-delà de la simple analyse superficielle pour révéler des informations plus profondes sur la chaîne d'attaque.

Stratégies défensives et cadres d'atténuation

Se défendre contre un acteur de menace adaptatif et bien doté en ressources comme APT37 nécessite une posture de sécurité proactive et multicouche. Les organisations, en particulier celles dotées de réseaux air-gappés ou très sensibles, doivent mettre en œuvre des stratégies défensives robustes :

  • Sécurité robuste des points d'extrémité: Déployez des solutions EDR avancées, des anti-malware et des analyses comportementales pour détecter et prévenir l'exécution de logiciels malveillants sophistiqués et les activités post-exploitation.
  • Segmentation réseau et micro-segmentation: Mettez en œuvre une segmentation réseau et une micro-segmentation strictes pour limiter les mouvements latéraux et contenir les brèches.
  • Gestion robuste des correctifs: Maintenez un programme rigoureux de gestion des correctifs pour corriger rapidement les vulnérabilités connues, refusant à APT37 les vecteurs d'accès initiaux courants.
  • Formation et sensibilisation des employés: Organisez des formations régulières et complètes sur le phishing, l'ingénierie sociale et les pratiques informatiques sécurisées.
  • Sécurité de la chaîne d'approvisionnement: Mettez en œuvre des processus de vérification rigoureux pour tous les logiciels, le matériel et les fournisseurs de services tiers.
  • Politiques relatives aux supports amovibles: Appliquez des politiques strictes concernant l'utilisation des clés USB et autres supports amovibles, y compris la numérisation obligatoire et la liste blanche.
  • Audits de sécurité réguliers: Effectuez fréquemment des tests d'intrusion, des évaluations de vulnérabilité et des exercices 'red team' pour identifier et corriger les faiblesses.
  • Intégration du renseignement sur les menaces: Consommez et intégrez activement les flux de renseignement sur les menaces provenant de sources réputées comme Zscaler ThreatLabz pour rester informé des dernières TTP d'APT37.

Conclusion

L'évolution continue d'APT37 et le déploiement de nouveaux outils pour les brèches de réseaux air-gappés signifient une menace persistante et croissante de la part des acteurs étatiques nord-coréens. Les découvertes de Zscaler ThreatLabz rappellent de manière critique que même les réseaux les plus isolés ne sont pas à l'abri des adversaires déterminés. Les organisations doivent continuellement adapter leurs stratégies défensives, en adoptant une approche holistique qui combine des contrôles techniques avancés, des politiques robustes et une sensibilisation humaine complète pour protéger leurs actifs les plus précieux contre cette menace redoutable.

apt37north-korea-cyberair-gapped-networkcybersecuritythreatlabzscarcruft