Posté le juillet 31, 2023 à 5:22
DES HACKERS DE PATCHWORK UTILISENT LA PORTE DÉROBÉE EYESHELL POUR LANCER UNE CAMPAGNE DE PIRATAGE CONTRE LA CHINE
Des acteurs de la menace liés à un groupe de hackers connu sous le nom de Patchwork ont lancé des campagnes ciblant des universités et des institutions de recherche basées en Chine. La campagne de piratage lancée par le groupe de hackers n’a été observée que récemment et a été détectée comme causant des dommages importants aux parties ciblées.
Les hackers de Patchwork utilisent la porte dérobée Eyeshell pour cibler les entreprises de recherche Chinoises
L’activité de piratage menée par ce groupe de hackers a été repérée par une équipe de recherche connue sous le nom de KnownSec 404 Team. Cette équipe a décrit l’utilisation d’une porte dérobée portant le nom de code EyeShell pour mener diverses campagnes de piratage.
Le groupe de hackers Patchwork porte par ailleurs d’autres noms, tels que Operation Hangover et Zinc Emerson. Les chercheurs ont déclaré que le groupe de hackers est soupçonné d’être un acteur de la menace qui opère pour le compte du gouvernement Indien.
Cette organisation de piratage serait active depuis décembre 2015 environ. Les chaînes d’attaques lancées par le groupe ont un objectif limité et tendent à cibler à la fois la Chine et le Pakistan. Les deux entités sont ciblées à l’aide d’implants personnalisés comme BADNEWS dans le cadre de campagnes de piratage par spear-phishing.
Le groupe de hackers a en outre déployé des attaques de point d’eau pour mener à bien sa campagne de piratage. D’après les recherches, le collectif d’adversaires partage des similitudes avec d’autres groupes de hackers de cyber-espionnage, notamment ceux liés à l’Inde.
Les techniques et activités de piratage signalées dans la violation de Patchwork semblent similaires à ce qui a été observé dans d’autres groupes de hackers tels que DoNot Team et SideWinder. Ces similitudes indiquent que le groupe de hackers pourrait avoir des liens avec l’Inde.
Le groupe de hackers Patchwork
Patchwork est l’un des groupes de hackers les plus connus. En mai de cette année, le géant des médias sociaux Meta a annoncé qu’il avait fermé 50 comptes sur Facebook et Instagram. Ces comptes étaient liés au groupe de hackers Patchwork.
Selon les recherches, ce groupe de hackers a exploité de fausses applications de messagerie répertoriées sur la plateforme d’applications Google Play Store. Ces applications ont ensuite été utilisées pour recueillir des données auprès de victimes du Bangladesh, de Chine, d’Inde, du Pakistan, du Sri Lanka et du Tibet.
Le géant des médias sociaux a également déclaré que le groupe de hackers Patchwork s’est largement appuyé sur des personas étendus et faux pour mener une attaque d’ingénierie sociale. Cette attaque a incité les gens à suivre des liens malveillants et à télécharger des applications malveillantes.
Les chercheurs ont par ailleurs noté que les fausses applications étaient dotées de fonctionnalités malveillantes simples et qu’elles permettaient d’accéder aux données de l’utilisateur en fonction des autorisations accordées à l’utilisateur final pour l’application légitime. Le groupe de hackers a aussi hébergé un faux site web pour ces fausses applications où ils ont passé en revue certaines des meilleures applications de chat du marché et ont ensuite inclus leur application malveillante pour tromper les utilisateurs et les inciter à la télécharger.
« Ces applications contenaient des fonctionnalités malveillantes relativement basiques, l’accès aux données de l’utilisateur dépendant uniquement des autorisations légitimes accordées par l’utilisateur final. Patchwork a notamment créé un faux site web d’évaluation d’applications de chat où il a dressé la liste des cinq meilleures applications de communication, plaçant en tête de liste sa propre application contrôlée par l’attaquant », ont déclaré les chercheurs.
Certaines des activités menées par ce groupe de hackers ont également été détaillées sous le label ModifiedElephant par Secureworks. ModifiedElephant fait référence à un large éventail d’attaques visant des militants des droits de l’homme, des universitaires et des avocats basés en Inde.
Ces hackers ciblent ces professions pour mener une campagne de surveillance à long terme. Au cours de cette campagne, les hackers installent des preuves numériques incriminantes liées aux violences de Bhima Koregaon de 2018 dont le Maharashtra a été témoin.
Le rapport d’EyeShell a en outre révélé que les implants personnalisés de BADNEWS n’étaient pas le seul outil utilisé pour mener à bien cette campagne de piratage. Les chercheurs ont noté qu’une porte dérobée modulaire basée sur .NET a également été utilisée. Cette porte dérobée contenait de nombreuses capacités permettant d’établir un contact avec un serveur de commande et de contrôle (C2) à distance.
Les hackers peuvent en outre exécuter un large éventail de commandes pour énumérer des répertoires et des fichiers. Ils peuvent également télécharger des fichiers vers et depuis l’hôte tout en exécutant les fichiers spécifiés. Un hacker peut aussi supprimer des fichiers et effectuer des captures d’écran à l’aide de cette porte dérobée modulaire.
Les résultats de cette recherche interviennent après qu’une société de cybersécurité a détaillé un large éventail de campagnes de phishing menées par un groupe de hackers connu sous le nom de Bitter. Ces campagnes de piratage visent les secteurs de l’aérospatiale, de l’armée, des universités, des grandes entreprises et de l’armée. Les attaques de piratage utilisent une nouvelle porte dérobée appelée ORPCBackdoor.
Le groupe de hackers Bitter opérerait depuis l’Asie du Sud. Il a été détecté en train de lancer des campagnes de hacker contre le secteur de l’énergie nucléaire en Chine en utilisant des logiciels malveillants à télécharger. Les téléchargeurs ont été installés à l’aide de fichiers CHM et Microsoft Excel pour créer des charges utiles de persistance et d’accès.
