Posté le août 16, 2022 à 5:14
DES HACKERS CHINOIS COMPROMETTENT L’APPLICATION MIMI CHAP POUR CIBLER LES UTILISATEURS DE WINDOWS ET MACOS
Des rapports récents des entreprises de cybersécurité Trend Micro et SEKOIA ont révélé une campagne menée par un hacker Chinois nommé Lucky Mouse. Selon ces rapports, la campagne de piratage consiste à pirater des systèmes en utilisant une version trojanisée d’une application de messagerie multiplateforme.
Les chaînes infectées tirent parti d’une application de chaperon connue sous le nom de MiMi, dont les fichiers d’installation ont été violés pour télécharger et installer des échantillons HyperBro pour les artefacts rshell et le système d’exploitation Windows pour macOS et Linux.
Pas moins de 13 entités différentes aux Philippines et à Taïwan ont été victimes de cette nouvelle menace, huit d’entre elles étant victime de rshell.
Lucky Mouse est accompagné de différents autres pseudonymes, notamment Emissary Panda, Bronze Union, Iron Tiger et APT27. La campagne est active dans la nature depuis 2013. Elle est connue pour avoir obtenu un accès non autorisé à des réseaux ciblés dans le cadre de sa collecte de renseignements militaires et politiques liée à la Chine.
L’acteur de la menace est également sophistiqué dans une gamme non limitée de modules d’attaque. Il est connu pour compromettre des données de grande valeur en utilisant différents implants personnalisés tels que PlugX, HyperBro et SysUpdate. Bien que la menace existe depuis des années, elle a changé de stratégie et de puissance d’attaque ces derniers temps. C’est la première fois que l’acteur tente de cibler macOS ainsi que Linux et Windows.
Une attaque de la chaîne d’approvisionnement
D’après le contenu des rapports, l’attaque présente toutes les caractéristiques d’une attaque de chaîne d’approvisionnement. Lucky Mouse contrôle les serveurs backend qui hébergent les installateurs d’applications de MiMi. Il est donc plus facile pour les hackers de modifier l’application pour obtenir les portes dérobées à partir d’un serveur distant.
Les hackers ont également modifié la version 2.3.0 de macOS afin de diffuser le code malveillant JavaScript le 26 mai 2022. Bien qu’il ne s’agisse pas de la première variante de macOS ayant fait l’objet d’une violation, d’autres versions, comme les versions 2.2.0 et 2.2.1 pour Windows, ont été vues comportant des ajouts similaires dès novembre de l’année dernière.
De son côté, rshell est une porte dérobée standard qui possède toutes les caractéristiques et les signes habituels permettant l’exécution arbitraire de commandes reçues d’un serveur de commande et de contrôle (C2). Le serveur C2 transmet également les résultats de l’exécution au serveur.
L’opération est liée à Lucky Mouse
Les sociétés de sécurité surveillent toujours les activités de MiMi. On ne sait donc pas si elle a été conçue comme un outil de surveillance ou comme un programme de chat légitime. Ce n’est pas la première fois que l’application est utilisée, puisqu’elle a également été utilisée par un autre hacker Chinois et portant le nom de Earth Berberoka. Lorsqu’elle a été utilisée par ce hacker, l’application a été canalisée vers des sites de jeux en ligne. Cela prouve que l’outil est largement exploité par les hackers Chinois.
Le lien entre l’opération et Lucky Mouse provient de la propension à manipuler des instructions précédemment identifiées comme étant utilisées par l’ensemble d’intrusion Chinese-nexus. L’attaque est également liée au déploiement d’Hyperbro, une porte dérobée utilisée par le groupe de menaces.
SEKOIA a noté que ce n’est pas la première fois que ce type de menace est observé dans la nature. Ce n’est pas non plus la première fois qu’il utilise les applications de messagerie comme point de départ de ses attaques.
Il y a près de deux ans, l’organisme de cybersécurité ESET a révélé qu’un logiciel de chat populaire connu sous le nom d’Able Desktop avait été compromis pour diffuser PlugX, HyperBro et un cheval de Troie d’accès à distance connu sous le nom de Tmanger.
La première victime a été signalée en juillet de l’année dernière
TrendMicro a également déclaré avoir détecté la même campagne de logiciels malveillants. La société de sécurité a indiqué avoir découvert une version trojanisée de MiMi ciblant Windows (avec ByperBro) et Linux (avec rshell). La première victime a été signalée à la mi-juillet 2021, tandis que le plus ancien échantillon de rshell pour Linux date de juin 2021.
Le JavaScript malveillant implanté dans le code source de MiMi cherche d’abord à savoir si l’application fonctionne sur un appareil Mac. Après avoir obtenu ces informations, il télécharge et exécute la porte dérobée rshell, selon SEKOIA. À son lancement, le logiciel malveillant récolte et envoie des informations sur le système au serveur Cr et attend de recevoir les recommandations des hackers d’APT27.
Les acteurs de menaces peuvent l’utiliser pour répertorier les fichiers et les dossiers, tandis que la lecture, le téléchargement et l’écriture de fichiers sur les systèmes compromis deviennent possibles. En outre, la porte dérobée peut être soutenue par une commande d’envoi qui peut lui ordonner d’envoyer des fichiers au serveur des hackers.
