Nous avons confirmé que les versions légitimes et malveillantes du programme d’installation du chat n’étaient pas signées, ce qui signifie que les utilisateurs du chat MiMi étaient probablement habitués à toutes ces étapes supplémentaires pour finalement installer l’application malgré tous les garde-fous macOS.
HyperFrère
La famille de logiciels malveillants HyperBro existe depuis 2017 et a été largement analysé. Il a été mis à jour mi-2019, ce que nous avons décrit en détail dans notre Opération DRBControl papier.
La version utilisée dans cette campagne n’est pas différente de celle que nous avons déjà décrite dans notre précédent Tigre de fer enquête. Le seul élément remarquable est la signature Authenticode de dlpprem32.dll, qui est signée par un certificat (maintenant) révoqué appartenant à “Cheetah Mobile Inc.” Ladite société était auparavant connue sous le nom de Kingsoft Internet Software Holdings Limited, dans laquelle, au cours de notre enquête précédente sur le groupe, nous en avons déjà trouvé un HyperBro DLL signé par un certificat appartenant à Kingsoft.
Cibles
Nous avons trouvé 13 cibles différentes en suivant les données de nos capteurs. Les seuls pays visés étaient Taïwan et les Philippines : cinq cibles d’HyperBro (quatre à Taïwan et une aux Philippines). Pendant ce temps, nous avons trouvé huit cibles pour rshell : six à Taïwan, une aux Philippines et une à Taïwan et aux Philippines.
Bien que nous n’ayons pas été en mesure d’identifier toutes les cibles, ces données démographiques de ciblage démontrent une région géographique d’intérêt pour Iron Tiger. Parmi ces cibles, nous n’avons pu en identifier qu’une seule : une société taïwanaise de développement de jeux. Fait intéressant, nous avons trouvé un échantillon du framework Reptile rootkit dans cette même entreprise, ainsi que des requêtes réseau vers un sous-domaine appartenant à l’infrastructure de Earth Berberoka.
Nous avons également remarqué des demandes de réseau d’une société de développement informatique taïwanaise au sous-domaine confiance[.]très SSL[.]orget le sous-domaine centre.veryssl[.]org est un C&C pour l’un des échantillons de rshell que nous avons trouvés. Cela suggère que l’entreprise pourrait être compromise par le même acteur menaçant.
Chronologie
- Juin 2021 : Le plus ancien échantillon de rshell Linux trouvé
- Novembre 2021 : L’acteur de la menace a modifié la version 2.2.0 du programme d’installation de chat Windows MiMi pour télécharger et exécuter la porte dérobée HyperBro
- Mai 2021 : L’acteur de la menace a modifié la version 2.3.0 du programme d’installation de chat Mac OS MiMi pour télécharger et exécuter la porte dérobée « rshell »
Attribution et conclusion
Nous attribuons cette campagne à Iron Tiger pour plusieurs raisons. Premièrement le dlpprem32.dll Le fichier lié à HyperBro partage certaines caractéristiques (en particulier l’emphash, l’en-tête RICH) avec les échantillons précédents déjà attribués au groupe. De plus, les noms de fichiers impliqués dans le décodage et le chargement d’HyperBro sont similaires à ceux dont nous avons été témoins lors de notre enquête l’année dernière.
Deuxièmement, l’un des exemples Linux rshell a utilisé l’adresse IP 45[.]142[.]214[.]193 comme son C&C. En 2020, cette adresse IP avait un DNS inversé particulier : nbaya0u2[.]Exemple[.]com. Pendant notre Opération DRBControl enquête, nous avons trouvé un échantillon HyperBro qui avait 138[.]124[.]180[.]108 comme son C&C. Cette deuxième adresse IP avait nbaya0u1[.]Exemple[.]com comme son DNS inverse. Cependant, comme l’échantillon rshell a été trouvé en 2021, nous n’avons initialement pas trouvé cette corrélation suffisamment forte pour attribuer la famille rshellmalware à Iron Tiger.
Malgré le fait que les mêmes acteurs de la menace parrainés par l’État ont tendance à partager leurs outils malveillants (tels que gh0st, PlugX et Shadowpad), ce n’est pas le cas pour HyperBro pour autant que nous le sachions. Le fait que nous ayons trouvé ce malware utilisé dans cette campagne est un indicateur supplémentaire pointant vers Iron Tiger.
Nous avons également trouvé des liens vers Earth Berberoka. De l’une des victimes où nous avons trouvé un échantillon de rshell, nous avons également trouvé un binaire appartenant au Rootkit de reptiles framework, un rootkit identifié comme faisant partie de l’arsenal de Earth Berberoka. Nous avons également remarqué des communications réseau de cette victime vers un sous-domaine de Earth Berberoka, ce qui suggère qu’il aurait pu être précédemment compromis par cet acteur menaçant. Nous avons remarqué un système différent dans la même situation, ainsi que les connexions réseau au sous-domaine confiance[.]très SSL[.]org nom de domaine. L’un des échantillons de rshell avait centre[.]très SSL[.]org comme le C&C. Les deux résultats suggèrent que ces victimes pourraient être compromises par les deux acteurs de la menace, ou que Earth Berberoka est en fait un sous-groupe d’Iron Tiger. Pour rappel, en enquêtant sur Earth Berberoka, nous avons trouvé plusieurs liens vers Iron Tiger que nous avons détaillés dans notre rechercher.
Indicateurs de compromis (IOC)
Vous trouverez la liste des IOC ici.
— to www.trendmicro.com