histats

Les pirates Webworm utilisent des RAT modifiés dans les dernières attaques de cyberespionnage

Les pirates Webworm utilisent des RAT modifiés dans les dernières attaques de cyberespionnage

Pirates des vers Web

Un acteur menaçant suivi sous le nom Webworm utilise des variantes sur mesure de chevaux de Troie d’accès à distance basés sur Windows préexistants pour voler sous le radar, dont certains seraient en phase de pré-déploiement ou de test.

“Le groupe a développé des versions personnalisées de trois anciens chevaux de Troie d’accès à distance (RAT), dont Trochilus RAT, Gh0st RAT et 9002 RAT”, a déclaré l’équipe Symantec Threat Hunter, qui fait partie de Broadcom Software, dans un rapport partagé avec The Hacker News.

Cybersécurité

La société de cybersécurité a déclaré qu’au moins un de ses indicateurs de compromission (IOC) avait été utilisé dans une attaque contre un fournisseur de services informatiques opérant dans plusieurs pays asiatiques.

Il convient de souligner que les trois portes dérobées sont principalement associées à des acteurs menaçants chinois tels que Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) et Judgment Panda (APT31), bien qu’ils aient été surpris en cours d’utilisation par d’autres groupes de pirates.

Symantec a déclaré que l’acteur de la menace Webworm montre des chevauchements tactiques avec un autre nouveau collectif contradictoire documenté par Positive Technologies plus tôt en mai sous le nom de Space Pirates, qui a été trouvé frappant des entités dans l’industrie spatiale russe avec de nouveaux logiciels malveillants.

Space Pirates, à son tour, recoupe l’activité d’espionnage chinoise précédemment identifiée connue sous le nom de Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) et Night Dragon en raison de l’utilisation partagée de modules RAT post-exploit tels que comme PlugX et ShadowPad.

See also  Succès et échecs de l'entreprise - Le méta est piraté, le métaverse est battu et le co-code fait l'objet d'une vérification de jargon

Parmi les autres outils de l’arsenal de logiciels malveillants figurent Zupdax, le Deed RAT, une version modifiée du Gh0st RAT connue sous le nom de BH_A006 et MyKLoadClient.

Cybersécurité

Actif depuis 2017, Webworm a fait ses preuves auprès d’agences gouvernementales et d’entreprises impliquées dans les services informatiques, l’aérospatiale et l’énergie électrique en Russie, en Géorgie, en Mongolie et dans plusieurs autres pays asiatiques.

Les chaînes d’attaque impliquent l’utilisation de logiciels malveillants dropper qui contiennent un chargeur conçu pour lancer des versions modifiées des chevaux de Troie d’accès à distance Trochilus, Gh0st et 9002. La plupart des changements visent à éviter la détection, a déclaré la société de cybersécurité, notant que l’accès initial est obtenu via l’ingénierie sociale avec des documents leurres.

“L’utilisation par le ver Web de versions personnalisées d’anciens logiciels malveillants, et dans certains cas open source, ainsi que le chevauchement de code avec le groupe connu sous le nom de Space Pirates, suggèrent qu’il pourrait s’agir du même groupe de menaces”, ont déclaré les chercheurs.

“Mais l’utilisation commune de ces types d’outils et l’échange d’outils entre groupes dans cette région peuvent masquer les traces de groupes de menaces distincts, ce qui est probablement l’une des raisons pour lesquelles cette approche a été adoptée, une autre est le coût, car le le développement de logiciels malveillants sophistiqués peut être coûteux en termes d’argent et de temps.”

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *