Posté le juin 25, 2022 à 7:58

DES HACKERS CHINOIS DÉPLOIENT UN LOGICIEL MALVEILLANT CACHÉ DANS L’OUTIL SMS BOMBER

Un hacker lié au groupe de hackers Tropic Trooper a été découvert en train d’utiliser un logiciel malveillant qui n’avait jamais été documenté auparavant. Le logiciel malveillant en question est codé en utilisant le langage Nim, qui est utilisé pour cibler des individus et des institutions dans le cadre d’une nouvelle campagne.

Des hackers Chinois utilisent l’outil SMS Bomber pour déployer des logiciels malveillants

Le nouveau chargeur, également connu sous le nom de « Nimbda », a été mêlé à l’outil SMS Bomber écrit en Chinois. L’outil est distribué illégalement par le biais d’un site Web en Chinois.

La campagne utilisant ce logiciel malveillant a été révélée dans un rapport publié par Check Point. Il indique que les acteurs de la menace qui ont créé ce logiciel malveillant ont fait preuve de sophistication en veillant à ce que le chargeur soit exécuté de la même manière que l’outil SMS Bomber.

Les chercheurs ont ajouté que « la personne qui a conçu le chargeur Nim a pris soin de lui donner la même icône exécutable que le SMS Bomber qu’il dépose et exécute. Par conséquent, l’ensemble du paquet fonctionne comme un binaire trojanisé ».

L’outil SMS Bomber fonctionne de manière similaire à ce que son nom indique. L’outil permet à un utilisateur d’entrer un numéro de téléphone qui n’est pas le sien afin de ne pas bombarder de messages l’appareil de la victime. L’outil rend l’appareil inutilisable en menant une attaque par déni de service (DoS).

La nature des attaques montre que les attaquants accordent une grande attention aux personnes et aux institutions visées. Le binaire est utilisé comme SMS Bomber et comme porte dérobée, ce qui montre que les attaques n’ont pas seulement visé les victimes qui utilisaient l’outil, ce qui en ferait une « cible peu orthodoxe ». Au contraire, les attaquants ont été plus ciblés dans leurs attaques pour s’assurer que tout se passe bien.

Le groupe de hackers Tropic Trooper

Le groupe d’acteurs de menaces qui utilise cette tactique pour lancer des attaques est connu sous le nom de Tropic Trooper. Ce groupe porte également d’autres noms tels que KeyBoy, Earth Centaur et Pirate Panda. Il est connu pour avoir ciblé des victimes basées aux Philippines, à Hong Kong et à Taiwan.

Tropic Trooper est un groupe de pirates qui cible de nombreuses institutions. Son groupe cible comprend des institutions gouvernementales, des organisations de santé, des secteurs du transport et des entreprises de haute technologie.

Un rapport sur ce groupe a également été partagé par Trend Micro. Le rapport indique que les acteurs de menaces Chinois sont très sophistiqués et qu’ils disposent de l’équipement nécessaire pour mener à bien leurs opérations. Le groupe a par ailleurs souligné sa capacité à transformer les TTP et à s’assurer qu’ils ne sont pas détectés. Le groupe utilise aussi divers outils personnalisés pour compromettre les cibles.

La dernière chaîne d’attaque a été documentée par Check Point. La chaîne d’attaque commence par l’outil compromis SMS Bomber, également connu sous le nom de chargeur Nimbda. Le chargeur exécute un exécutable intégré. Ainsi, la charge utile légitime de SMS Bomber est exécutée tout en lançant le shellcode dans le processus notepad.exe.

Une fois que ce processus a été exécuté, il commence un processus en trois étapes pour infecter les cibles. Ces étapes consistent à télécharger le binaire de l’étape suivante à partir de l’adresse IP cachée qui sera notée dans le fichier markdown appelé EULA.md. Ce fichier est hébergé dans le dépôt GitHub et Gitee hébergé par l’attaquant.

Le binaire récupéré utilise une version améliorée d’un cheval de Troie appelé Yahoyah. Ce cheval de Troie est conçu pour collecter des informations sur les réseaux locaux sans fil situés à proximité de l’ordinateur de la victime. Le cheval de Troie est également utilisé pour collecter des informations provenant d’autres systèmes et des métadonnées. Il peut également exfiltrer les détails vers un serveur de commande et de contrôle (C2).

Yahoyah est également utilisé comme plateforme pour collecter l’étape finale du logiciel malveillant. Le logiciel malveillant est téléchargé sous la forme d’une image collectée sur le serveur C2. La charge utile qui est encodée de manière stéganographique fonctionne aussi comme une porte dérobée connue sous d’autres noms tels que TClient. Le groupe a déployé le logiciel malveillant pour lancer un large éventail d’autres campagnes.

« Le groupe d’activités observé donne l’image d’un acteur ciblé et déterminé ayant un objectif clair en tête. Habituellement, lorsqu’un outil tiers bénin (ou d’apparence bénigne) est sélectionné pour être inséré dans une chaîne d’infection, il est choisi pour être le moins visible possible ; le choix d’un outil « SMS Bomber » à cette fin est troublant et en dit long dès que l’on ose extrapoler un motif et une victime visée », ajoutent les chercheurs.