histats

Les gouvernements et organisations asiatiques visés par les récentes attaques de cyberespionnage

Les gouvernements et organisations asiatiques visés par les récentes attaques de cyberespionnage

Attaques de cyberespionnage

Les gouvernements et les organisations publiques d’un certain nombre de pays asiatiques ont été ciblés par un groupe distinct de pirates informatiques dans le cadre d’une mission de renseignement en cours depuis le début de 2021.

“Une caractéristique notable de ces attaques est que les attaquants ont exploité une large gamme de packages logiciels légitimes pour charger leurs charges utiles de logiciels malveillants à l’aide d’une technique connue sous le nom de chargement latéral de DLL”, a déclaré l’équipe Symantec Threat Hunter, qui fait partie de Broadcom Software. un rapport partagé avec The Hacker News.

La campagne s’adresserait exclusivement aux institutions publiques liées à la finance, aux voyages dans l’espace et à la défense, ainsi qu’aux entreprises publiques de médias, d’informatique et de télécommunications.

Le chargement de page de la bibliothèque de liens dynamiques (DLL) est une méthode de cyberattaque populaire qui exploite la façon dont les applications Microsoft Windows gèrent les fichiers DLL. Dans ces intrusions, une fausse DLL malveillante est plantée dans le répertoire Windows Side-by-Side (WinSxS) afin que le système d’exploitation la charge à la place du fichier légitime.

Cybersécurité

Les attaques impliquent l’utilisation de versions anciennes et obsolètes de solutions de sécurité, de logiciels graphiques et de navigateurs dépourvus de restrictions de chargement de pages DLL, et les utilisent comme conduit pour charger un shellcode arbitraire conçu pour exécuter des charges utiles supplémentaires.

En outre, les progiciels servent également à fournir des outils pour faciliter le vol d’informations d’identification et les déplacements latéraux sur le réseau compromis.

“[The threat actor] ont exploité PsExec pour exécuter d’anciennes versions de logiciels légitimes qui ont ensuite été utilisées pour charger des outils malveillants supplémentaires tels que des chevaux de Troie d’accès à distance (RATS) standard via le chargement latéral de DLL sur d’autres ordinateurs sur les réseaux », ont noté les chercheurs.

See also  Mobiles are 'potential goldmines' for hostile states, MPs warned | The House of Commons

Dans l’une des attaques contre une organisation publique du secteur de l’éducation en Asie, qui a duré d’avril à juillet 2022, l’adversaire a eu accès à des machines hébergeant des bases de données et des e-mails, avant d’accéder au contrôleur de domaine.

La violation a également utilisé une version vieille de 11 ans de Bitdefender Crash Handler (“javac.exe”) pour lancer une version renommée de Mimikatz (“calc.exe”), un framework de test de pénétration Golang open source appelé LadonGo, et d’autres charges utiles sur plusieurs hôtes.

L’un d’eux est un voleur d’informations riche en fonctionnalités et non documenté appelé Logdatter, capable d’enregistrer les frappes au clavier, de prendre des captures d’écran, de se connecter et d’interroger des bases de données SQL, de télécharger des fichiers et de voler des données de presse-papiers.

L’attaque utilise également un outil d’analyse intranet accessible au public appelé Fscan pour effectuer des tentatives d’exploitation exploitant les vulnérabilités ProxyLogon Microsoft Exchange Server.

Cybersécurité

L’identité du groupe de menaces n’est pas claire, bien qu’il aurait utilisé ShadowPad lors de campagnes précédentes, une porte dérobée modulaire conçue comme un successeur de PlugX (alias Korplug) et partagée par de nombreux acteurs chinois de la menace.

Symantec a déclaré qu’il disposait de preuves limitées reliant les attaques précédentes de l’acteur malveillant impliquant le malware PlugX à d’autres groupes de pirates chinois tels que APT41 (alias Wicked Panda) et Mustang Panda. De plus, l’utilisation d’un fichier Bitdefender légitime pour charger le shellcode a été observée lors d’attaques précédentes attribuées à APT41.

“L’utilisation d’applications légitimes pour faciliter le chargement latéral de DLL semble être une tendance croissante parmi les acteurs d’espionnage opérant dans la région”, ont déclaré les chercheurs. “Bien qu’il s’agisse d’une technique bien connue, elle doit offrir un certain succès aux attaquants compte tenu de sa popularité actuelle.”

See also  Briser les mythes sur le modèle Zero Trust et comprendre comment il peut protéger votre organisation

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *