Cet article de blog sur le groupe Mantis est un extrait du rapport de la France « Flint 2022-037 –Sekoia.io Flash Intelligence» envoyée à nos clients le 07 juillet 2022.
Sommaire
Résumé
Le 4 juillet 2022, un analyste de Sekoia.io a reçu des SMS de phishing (également appelés Smishing) intégrant une URL malveillante. L’URL déploie le malware MOQHAO Android ou redirige vers une page de récolte d’identification des détails de connexion Apple. L’analyse de cette activité de Smishing nous a amenés à identifier une campagne active ciblant les victimes de la France.
Le mode opératoire observé lors de la campagne en cours ciblant les utilisateurs de téléphones mobiles français est conforme à ceux de Mantis, par ailleurs observées et documentées par plusieurs fournisseurs de sécurité. Les campagnes distribuant Moqhao au Japon, en Corée du Sud, à Taïwan, en Allemagne, en France, au Royaume-Uni et aux États-Unis, ont des techniques similaires. Notre enquête montre que cette campagne a un impact largement sur la France et se traduit peut-être par environ 70 000 compromis de dispositif Android.
Moqhao (aka wroba, xloader pour Android) est un cheval de Troie à distance Android (rat) avec des capacités de vol d’information et de porte dérobée qui se propage probablement via SMS. Il est attribué à l’itinérance de Mantis, évalué comme un groupe de menaces chinois motivé financièrement.
Les analystes de SEKOIA.IO surveillent et suivent cette menace depuis le début de 2022. Dans cet article de blog, nous décrivons chaque étape de la campagne de smirs en cours et partageons notre enquête sur l’infrastructure de l’itinérance de Mantis.
Campagne de Smishing en cours
Le 4 juillet 2022, un analyste de Sekoia.io a reçu des SMS de phishing (également appelés Smishing) incorporant une URL malveillante. L’URL déploie le logiciel malveillant MoqHao Android ou redirige vers une page de collecte des identifiants de connexion Apple. L’analyse de cette activité de Smishing nous a conduit à identifier une campagne active ciblant les victimes dans toute la France.
Voici un aperçu de la chaîne d’infection en fonction de l’emplacement de la victime (en fonction de son adresse IP) et du système d’exploitation (en fonction de son agent utilisateur).
Figure 1. Chaîne d’infection de Moqhao
La procédure de compromission de Moqhao expliquée étape par étape
Le vecteur d’attaque initial est un message texte distribué par SMS et contenant une URL malveillante, comme le montre la figure suivante.
Figure 2. SMS de phishing par Mantis (traduit du français: «Votre package a été envoyé. Veuillez le vérifier et le recevoir.»)
Si la cible clique sur le lien, une demande HTTP est envoyée au serveur. Selon l’emplacement de la victime (probablement déduit de son adresse IP) et son système d’exploitation (déduit de l’agent utilisateur), le serveur répond:
- rien (404 non trouvé), si l’appareil de la victime n’est pas situé en France;
- Une page HTML contenant du code JavaScript affichant une alerte et redirigeant vers un fichier APK (kit de package Android), si le mobile est situé en France et exécute Android;
- Une fausse page Web de connexion Apple, si le mobile est situé en France et est un iPhone.
La campagne de Smishing est donc géocalisée et vise à installer des logiciels malveillants Android ou à collecter des informations d’identification Apple iCloud.
Si le téléphone mobile de la victime exécute le système d’exploitation Android, un message incite la victime à télécharger le malveillant en tant que mise à jour du navigateur Web (Sha256: 3BA2B1C0352EA9988EDEB608ABF2C0 37B1F30482BBC05C3AE79265BAB7A44C9). Ce fichier correspond au malware moqhao selon l’analyse du bac à sable de Triage.
Une fois que la victime a téléchargé et exécuté le malware, l’application demande l’autorisation de lire et d’envoyer des messages SMS. Cette autorisation permet aux logiciels malveillants, entre autres, d’intercepter les SMS des téléphones portables des victimes. Il convient de noter que l’échantillon de Moqhao étudié imite l’application Chrome pour attirer la victime pour donner la permission.
Le malware récupère ensuite son serveur C2 en demandant l’un des profils de réseau social stocké dans la charge utile. Dans l’échantillon analysé, les profils sont: Shaoye77, Shaoye88 et Shaoye99 sur le service IMGUR. Dans l’analyse de triage ci-dessus, le malware demande le profil shaoye99 sur le service d’hébergement d’image légitime IMGUR (hxxps: // imgur [.] Com / user / shaoye99 / about).
Comme le montre la figure, la section «À propos» contient la chaîne «bgfrewifarpcdep9o0gfwpl3dhku2 uwzh-z7eg9bgfrewi» qui incorpore le serveur C2 encrrypté DES contenu entre les marqueurs «bgfrewi». En utilisant la recette suivante dans CyberChef, nous obtenons l’adresse IP finale et la paire de ports (107.148.243 [.] 103: 28867).
Figure 4. Recette CyberChef pour décrypter la chaîne contenant le serveur C2
Il vaut la peine de noter que le caractère «-» est remplacé par «+» dans URL Safe Base64 Encoding Representation. Depuis 2020, la clé DES et IV (41 62 35 64 31 51 33 32) sont inchangées.
L’analyse de la campagne en cours de Mantis
Mantis est présenté comme un groupe dont les activités sont motivés par le gain financier. Il a pour habitude de cibler des pays développés.
Comme indiqué par Kaspersky et L’équipe Cymru au début de 2022, et sur la base de notre observation de plus de 90 000 adresses IP uniques qui échangeaient avec le serveur C2 distribuant Moqhao, nous confirmons que le groupe de menaces Mantis se concentre actuellement sur la France.
Cette activité permet à Mantis d’accéder aux données du système local, de la carte SD, des applications, des messages ou de la liste de contacts, des sauvegardes iCloud, d’iMessage, de l’historique des appels. Il favorise ainsi une interaction à distance avec l’appareil de la victime.
Nous pensons que cette collecte de données sensibles pourrait être utilisée par Mantis pour ses activités d’extorsion, de vente de données à d’autres groupes de menaces.
Infrastructure de Roaming Mantis
Nous avons remarqué deux chaînes d’infection différentes en fonction de l’agent utilisateur de la cible. Dans les sections suivantes, nous décrivons l’infrastructure associée à ces chaînes d’attaque.
Charges utiles Android
L’infrastructure hébergeant les charges utiles Android a été détaillée par l’Équipe Cymru dans son blog de partie 2 à partir d’avril 2022. Selon notre analyse, cette infrastructure a toujours les mêmes caractéristiques:
- Les serveurs sont utilisés pour cibler un seul pays; Ce qui signifie que si une adresse IP d’un autre pays contacte les serveurs, il obtiendra une erreur 404.
- Les ports ouverts sur les serveurs sont toujours les mêmes: TCP / 443, TCP / 5985, TCP / 10081AndTCP / 47001.
- Le certificat identifié en avril est toujours utilisé sur ces serveurs :
- SHA1: 834024f91f67445a7fd1a98689cb3f49b4c3ade7
- SHA256: 76de629b3e446e99d45541e95da0bfa18db43a48daa23f5551fdbde0c295a36c
Hameçonnage d’Apple
Les analystes de SEKOIA ont également étudié l’infrastructure des pages de phishing d’Apple :
- Ces serveurs ont les ports ouverts suivants: TCP/80, TCP/5432, TCP/ 5985 et TCP / 47001.
- La page de destination imite la page de connexion Apple ID. La géolocalisation est définie et la langue de la page de destination correspond à la langue des utilisateurs ciblés.
Figure 5. Page de phishing Apple en français (source: URLScan)
Ces pages peuvent être suivies sur des services de numérisation comme urlscan en utilisant des hachages de sous-ressources demandées par la page principale, comme le fichier Card.js (6d5516bbbebba2d51878f1e791b642f3b2944270b8e 84770f15a16376b202213).
Domaines
Les domaines utilisés à l’intérieur des SMS sont enregistrés avec GoDaddy ou utilisent des services DNS dynamiques tels que DuckDns.org. L’ensemble d’intrusion utilise plus de centaines de sous-domaines. En effet, chaque adresse IP est résolue par des dizaines de FQDN (par exemple: plus de 5000 FQDN se résolvent à 134 [.] 119 [.] 205 [.] 21). Puisqu’il est difficile d’énumérer tous les domaines, SEKOIA.IO suit plutôt les adresses IP associées pour surveiller cet ensemble d’intrusion.
Server C2 Moqhao
Roaming Mantis utilise une infrastructure distincte pour les serveurs C2 de Moqhao.
Pendant la rédaction de cette enquête, nous avons pu identifier 9 serveurs hébergés sur des systèmes autonomes EhostidC et Velianet.
Toutes les infrastructures sont surveillées par le projet interne de Sekoia «Sekoia C2 Trackers» et se trouvent dans notre portail “Intelligence Center”.
Mitre ATT & CK TTPS
T1583.001 – Acquérir Infrastructure: Domains
T1583.004 – Acquérir Infrastructure: Server
T1583.006 – Acquérir Infrastructure: Services Web
T1566.002 – Phishing: Spearphishing Link
T1204.001 – Exécution de l’utilisateur: lien malveillant
T1102.001 – Web Service: Dead Drop Resolver
T1071.001 – Protocole de couche d’application: Protocoles Web
T1041 – Exfiltration sur les domaines IOCS MALWARE
IOCs et données techniques de MOQHAO
Domaines contenus dans les SMS
SMS
coqrf.xpddg[.]com znjjq.udsuc[.]com gesee.udsuc[.]com bswhd.mrheu[.]com xpddg[.]com udsuc[.]com mrheu[.]com
Malicious APK
83ba2b1c0352ea9988edeb608abf2c037b1f30482bbc05c3ae79265bab7a44c9
APK permissions
android.permission.BROADCAST_SMS android.permission.BROADCAST_WAP_PUSH android.permission.SEND_RESPOND_VIA_MESSAGE android.permission.ACCESS_WIFI_STATE android.permission.BROADCAST_WAP_PUSH android.permission.SEND_RESPOND_VIA_MESSAGE android.permission.ACCESS_WIFI_STATE android.permission.CHANGE_NETWORK_STATE android.permission.CALL_PHONE android.permission.WRITE_EXTERNAL_STORAGE android.permission.READ_EXTERNAL_STORAGE android.permission.ACCESS_NETWORK_STATE android.permission.MODIFY_AUDIO_SETTINGS android.permission.RECEIVE_BOOT_COMPLETED android.permission.WAKE_LOCK android.permission.INTERNET android.permission.RECEIVE_SMS android.permission.READ_SMS android.permission.WRITE_SMS android.permission.SEND_SMS android.permission.SYSTEM_ALERT_WINDOW android.permission.READ_CONTACTS android.permission.READ_PHONE_STATE android.permission.GET_ACCOUNTS
Android payload servers
134[.]119[.]193[.]106 134[.]119[.]193[.]108 134[.]119[.]193[.]109 134[.]119[.]193[.]110 134[.]119[.]205[.]18 134[.]119[.]205[.]21 134[.]119[.]205[.]22 142[.]0[.]136[.]49 142[.]0[.]136[.]50 142[.]0[.]136[.]52 142[.]4[.]97[.]105 142[.]4[.]97[.]106 142[.]4[.]97[.]107 142[.]4[.]97[.]108 142[.]4[.]97[.]109 146[.]0[.]74[.]157
146[.]0[.]74[.]197 146[.]0[.]74[.]199 146[.]0[.]74[.]202 146[.]0[.]74[.]203 146[.]0[.]74[.]205 146[.]0[.]74[.]206 146[.]0[.]74[.]228 192[.]51[.]188[.]107 192[.]51[.]188[.]108 192[.]51[.]188[.]109 192[.]51[.]188[.]142 192[.]51[.]188[.]145 192[.]51[.]188[.]146 27[.]124[.]36[.]32 27[.]124[.]36[.]34 27[.]124[.]36[.]52
27[.]124[.]39[.]241 27[.]124[.]39[.]242 27[.]124[.]39[.]243 91[.]204[.]227[.]19 91[.]204[.]227[.]20 91[.]204[.]227[.]21 91[.]204[.]227[.]22 91[.]204[.]227[.]23 91[.]204[.]227[.]24 91[.]204[.]227[.]25 91[.]204[.]227[.]26 91[.]204[.]227[.]27 91[.]204[.]227[.]28
Apple phishing servers
172[.]81[.]131[.]12 172[.]81[.]131[.]14 172[.]81[.]131[.]10 172[.]81[.]131[.]11 172[.]81[.]131[.]13 103[.]80[.]134[.]41 103[.]80[.]134[.]40 103[.]80[.]134[.]42
MoqHao C2 servers
61[.]97[.]248[.]6 61[.]97[.]248[.]7 61[.]97[.]248[.]8 61[.]97[.]248[.]9 103[.]249[.]28[.]206 103[.]249[.]28[.]207 103[.]249[.]28[.]208 103[.]249[.]28[.]209 92[.]204[.]255[.]172
Imgur profile utilisé comme Dead Drop resolvers
hxxps://imgur[.]com/user/shaoye99/about hxxps://imgur[.]com/user/shaoye88/about hxxps://imgur[.]com/user/shaoye77/about hxxps://imgur[.]com/user/shaoye66/about hxxps://imgur[.]com/user/shaoye55/about hxxps://imgur[.]com/user/shaoye44/about hxxps://imgur[.]com/user/shaoye33/about hxxps://imgur[.]com/user/shaoye22/about hxxps://imgur[.]com/user/shaoye11/about
Des IOCs sont disponibles dans le Github de SEKOIA.IO: https://github.com/sekoia-io/community/blob/main/iocs/roamingmantis/roaming_mantis_iocs_20220718.csv
D’autres IOCs liés au malware Moqhao ou au set d’intrusion Roaming Mantis sont disponibles sur SEKOIA.IO pour nos clients XDR et CTI. Vous pouvez découvrir comment nous traquons en continu les menaces sur notre plateforme SOC SEKOIA.IO.
Lire aussi :