>
Research (Insikt)

China-Nexus TAG-112 compromet des sites Web tibétains pour diffuser Cobalt Strike

Publié : 12 novembre 2024
By: Insikt Group®

insikt-group-logo-updated-3-300x48.png

Summary

Lors d'une récente campagne informatique, le groupe malveillant TAG-112, soutenu par l'État chinois, a compromis deux sites Web tibétains, Tibet Post et Gyudmed Tantric University, pour y diffuser le malware Cobalt Strike. Insikt Group de Recorded Future a découvert que les attaquants avaient intégré un JavaScript malveillant dans ces sites, qui imitait une erreur de certificat TLS pour inciter les visiteurs à télécharger un certificat de sécurité déguisé. Ce malware, souvent utilisé par les acteurs malveillants pour l'accès à distance et la post-exploitation, met en évidence la poursuite du cyber-espionnage à l'encontre des entités tibétaines. L'infrastructure de TAG-112, dissimulée à l'aide de Cloudflare, relie cette campagne à d'autres opérations parrainées par la Chine, en particulier TAG-102 (Evasive Panda).

TAG-112, basé en Chine, compromet des sites Web tibétains pour distribuer Cobalt Strike

Les cyberattaques visant les minorités ethniques et religieuses en Chine se poursuivent, et de nouveaux éléments indiquent une campagne ciblée contre les organisations tibétaines. Lors d'une enquête récente, le groupe Insikt de Recorded Future a découvert un groupe d'acteurs malveillants soutenu par l'État chinois, baptisé TAG-112, chargé de compromettre des sites Web communautaires tibétains et de diffuser Cobalt Strike, un puissant outil de cyberespionnage.

Key Findings

Fin mai 2024, TAG-112 a compromis au moins deux sites Web de la communauté tibétaine : Tibet Post (tibetpost[.]net) et Gyudmed Tantric University (gyudmedtantricuniversity[.]org). Les attaquants ont exploité des vulnérabilités dans le système de gestion de contenu Joomla (CMS) utilisé par ces sites pour y implanter du JavaScript malveillant. Ce JavaScript incitait les visiteurs à télécharger un faux certificat de sécurité qui, une fois ouvert, déployait la charge utile Cobalt Strike.

L'infrastructure du TAG-112 présente un chevauchement notable avec celle du TAG-102 (Evasive Panda), un groupe plus sophistiqué soutenu par l'État chinois connu pour cibler des entités tibétaines. Cependant, Insikt Group a identifié TAG-112 comme une entité distincte en raison de différences dans la maturité et les tactiques d'attaque, telles que l'utilisation de Cobalt Strike plutôt que de malwares personnalisés et le renoncement à la dissimulation de JavaScript.

JavaScript malveillant et erreur TLS imitée

L'attaque commence par le JavaScript malveillant intégré dans les sites Web compromis. Lorsqu'un utilisateur consulte l'un de ces sites, le script détecte le système d'exploitation et le type de navigateur, confirmant ainsi la compatibilité avec Windows. S'il est compatible, le script établit une connexion avec le domaine de commande et de contrôle (C2) de TAG-112, update[.]maskrisks[.]com, qui renvoie alors une page HTML imitant une erreur de certificat TLS légitime.

Cette page d'erreur piégée est conçue pour imiter l'avertissement de certificat TLS de Google Chrome, incitant les utilisateurs à cliquer sur un lien pour « télécharger un certificat de sécurité ». En cliquant, les utilisateurs lancent sans le savoir le téléchargement de Cobalt Strike, un outil légitime couramment utilisé par les testeurs de sécurité, mais souvent exploité par des attaquants pour accéder à distance et exécuter des commandes.

Exploiter les vulnérabilités des sites Web

TAG-112 a probablement eu accès aux sites Web tibétains compromis grâce aux vulnérabilités de Joomla, un CMS populaire. Les sites Web créés sur Joomla sont souvent la cible d'attaquants s'ils ne sont pas correctement entretenus et mis à jour. Probablement en exploitant ces faiblesses, TAG-112 a pu télécharger le fichier JavaScript malveillant, qui est toujours actif sur ces sites début octobre 2024.

Infrastructure et tactiques de dissimulation

L'infrastructure du TAG-112 fait preuve d'un certain degré de sophistication lorsqu'il s'agit de dissimuler ses origines. Le groupe a utilisé Cloudflare pour masquer les adresses IP de ses serveurs, ce qui complique les efforts visant à remonter à l'origine de l'infrastructure. Insikt Group a identifié plusieurs adresses IP liées aux serveurs C2 de TAG-112, dont certaines sont actives dès mars 2024. Le domaine principal, maskrisks[.]com, a été enregistré en mars 2024 sur Namecheap, avec des sous-domaines tels que mail[.]maskrisks[.]com et checkupdate[.]maskrisks[.]com ajouté pour plus de flexibilité opérationnelle.

Utilisation de Cobalt Strike par TAG-112

Cobalt Strike est un outil de test d'intrusion commercial devenu très apprécié des acteurs malveillants en raison de sa polyvalence et de ses puissantes fonctionnalités d'accès à distance, de mouvement latéral et de commande et de contrôle. Insikt Group a identifié six échantillons distincts de Cobalt Strike Beacon liés à TAG-112, dont la communication C2 est dirigée vers mail[.]maskrisks[.]com. Ce malware permet au TAG-112 de surveiller et de contrôler les systèmes compromis, de recueillir des renseignements et de potentiellement exploiter ces systèmes infectés pour de nouvelles activités d'espionnage.

Connexions au TAG-102 (Evasive Panda)

Le TAG-112 partage plusieurs caractéristiques opérationnelles avec le TAG-102 (Evasive Panda), un autre groupe APT chinois connu pour cibler la communauté tibétaine. Les deux groupes ont utilisé des méthodes similaires, notamment des pages d'erreur piégées pour diffuser des fichiers malveillants. Cependant, les opérations du TAG-112 sont moins sophistiquées que celles du TAG-102, ce qui indique qu'il pourrait s'agir d'un sous-groupe ou d'une branche moins expérimentée. Par exemple, alors que le TAG-102 a déployé un malware personnalisé et utilisé des techniques de dissimulation, le TAG-112 s'appuie sur l'outil Cobalt Strike, facilement disponible, sans masquer son code JavaScript.

Malgré l'absence de dissimulation, les tactiques du TAG-112 et les chevauchements avec le TAG-102 soulignent l'intérêt constant du gouvernement chinois pour les Tibétains et les autres minorités ethniques et religieuses. Ces campagnes s'inscrivent dans une stratégie plus large de surveillance et de contrôle, visant des groupes perçus comme des menaces pour la stabilité et le contrôle du Parti communiste chinois (PCC).

Recommandations d'atténuation

La campagne de TAG-112 souligne l'importance de mesures de cybersécurité proactives, en particulier pour les organisations susceptibles d'être des cibles de grande valeur pour des acteurs soutenus par l'État. Recorded Future recommande les étapes suivantes :

  1. Détection et prévention des intrusions : configurez les systèmes de détection d'intrusion (IDS) et de prévention d'intrusion (IPS) pour qu'ils alertent sur tout indicateur de compromission (IoC) associé à TAG-112. Envisagez de bloquer les connexions à l'infrastructure TAG-112 connue après un examen approfondi.
  2. Formation des utilisateurs : apprenez aux utilisateurs à faire preuve de prudence lorsqu'ils manipulent des fichiers téléchargés depuis des sources non fiables. Déconseillez aux utilisateurs d'ouvrir des fichiers qui se téléchargent automatiquement sans saisie, car ils pourraient faire partie d'attaques de phishing ou de téléchargement furtif.
  3. Détection Cobalt Strike : activez la surveillance en temps réel des serveurs C2 Cobalt Strike malveillants à l'aide de modules de threat intelligence tels que Intelligence Cloud de Recorded Future.
  4. Surveillance du réseau : surveillez régulièrement le trafic réseau pour détecter tout signe de compromission, en particulier en ce qui concerne les connexions à des infrastructures présentant des menaces connues. L'analyse du trafic malveillant (MTA) peut aider à détecter des activités inhabituelles, en alertant les équipes de sécurité sur des communications C2 potentielles.

Outlook

Les opérations du TAG-112 contre des organisations tibétaines reflètent l'objectif de longue date des campagnes de cyberespionnage chinoises visant à surveiller et à contrôler les minorités ethniques et religieuses, en particulier celles considérées comme potentiellement déstabilisantes. D'autres groupes et régions présentant des profils de risque similaires désignés par le PCC sont probablement des cibles d'attaques similaires soutenues par l'État.

To read the entire analysis, click here to download the report as a PDF.

Appendix A — Indicators of Compromise

Sites Web compromis :
tibetpost[.]net
gyudmedtantricuniversity[.]org

Domaines C2 :
maskrisks[.]com
mail[.]maskrisks[.]com
update[.]maskrisks[.]com
checkupdate[.]maskrisks[.]com


Adresses IP C2 :
154.90.62[.]12
154.90.63[.]166
154.205.138[.]202

Certificats :
d0972247c500d2a45f412f9434287161de395a35ef5b4931cba12cf513b76962(*[.]dnspod[.]cn)
94569f64f62eff185ba47e991dba54bdeea6d1a9e205d6bec767be6a864e4efb (Cloudflare Origin *.maskrisks[.]com)
d4938cb5c031ec7f04d73d4e75f5db5c8a5c04ce (certificat de signature de code volé KP MOBILE)

URL de contenus JavaScript malveillants :
https[:]//gyudmedtantricuniversity[.]org/templates/lt_interiordesign/js/custom.js
https[:]//tibetpost[.]net/templates/ja_teline_v/js/gallery/jquery.blueimp-gallery.full.js

URL de contenus malveillants :
https[:]//update[.]maskrisks[.]com/download
https[:]//update[.]maskrisks[.]com/?type=Chrome
https[:]//update[.]maskrisks[.]com/?type=Edge
http[:]//mail[.]maskrisks[.]com/api/view.php
http[:]//154.205.138[.]202/GetUrl/cache
https[:]//checkupdate[.]maskrisks[.]com/cache
https[:]//update[.]maskrisks[.]com/cache

Cobalt Strike :
1e42cbe23055e921eff46e5e6921ff1a20bb903fca83ea1f1294394c0df3f4cd
0e306c0836a8ee035ae739c5adfbe42bd5021e615ebaa92f52d5d86fb895651d
f1f11e52a60e5a446f1eb17bb718358def4825342acc0a41d09a051359a1eb3d
f4ded3a67480a0e2a822af1e87a727243dea16ac1a3c0513aec62bff71f06b27
966d311dcc598922e4ab9ce5524110a8bfd2c6b6db540d180829ceb7a7253831
1e7cb19f77206317c8828f9c3cdee76f2f0ebf7451a625641f7d22bb8c61b21b

Chargeurs :
8d4049ef70c83a6ead26736c1330e2783bdc9708c497183317fad66b818e44cb
E190c7e097a1c38dd45d9c149e737ad9253b1cabee1cee7ef080ddf52d1b378c (logiciel légitime)
31f11b4d81f3ae25b6a01cd1038914f31d045bc4136c40a6221944ea553d6414



Appendix B — Mitre ATT&CK Techniques

Tactic: Technique ATT&CK Code
Resource Development: Acquire Infrastructure: Server T1583.004
Développement des ressources : Acquisition de l’infrastructure : Services Web T1583.006
Resource Development: Compromise Infrastructure: Server T1584.004
Accès initial : compromission par drive-by T1189
Contournement de la défense : Détournement du flux d’exécution : Chargement latéral de DLL T1574.002

Related