Posté le octobre 19, 2022 à 7:47
DES HACKERS ONT INFILTRÉ UNE AGENCE GOUVERNEMENTALE DE HONG KONG ET SONT RESTÉS INDÉTECTÉS PENDANT UN AN
Les chercheurs de Symantec ont détecté des cyberattaques causées par le groupe d’acteurs de la menace APT41. Le groupe a violé plusieurs agences gouvernementales à Hong Kong, et il est resté caché pendant un an dans certains cas.
Des hackers compromettent une agence gouvernementale de Hong Kong pendant un an
APT41, également connu sous le nom de Winnti, est un acteur de la menace d’espionnage. Le groupe de hackers infiltre des organisations et des agences gouvernementales pour voler des informations cruciales. Le groupe opère de manière furtive, ce qui pourrait expliquer pourquoi il n’a pas été détecté durant un an après avoir piraté une agence gouvernementale à Hong Kong.
Le groupe de hackers a déployé un logiciel malveillant personnalisé appelé Spyder Loader. Ce logiciel malveillant a été lié au groupe d’acteurs de la menace par le passé. Le logiciel malveillant a été utilisé pour infiltrer des ministères clés du gouvernement.
En mai 2022, les recherches de Cybereason ont détecté l' »Opération CuckoBees ». Cette opération, en cours depuis 2019, visait principalement des entreprises manufacturières et des institutions de haute technologie basées en Asie de l’Est, en Amérique du Nord et en Europe occidentale.
Le rapport récemment publié par Symantec a ajouté que certains signes indiquent que l’activité découverte à Hong Kong faisait partie de cette opération. Le groupe d’acteurs de la menace APT41 ciblait les agences gouvernementales opérant dans la région administrative spéciale.
Les hackers ont utilisé le logiciel malveillant Spyder Loader
Comme indiqué précédemment, les hackers à l’origine de cet exploit ont utilisé le logiciel malveillant Spyder Loader. Pendant l’opération CuckoBees, Winnti a déployé une nouvelle version de la porte dérobée Spyder Loader.
Le rapport de Symantec indique également que les hackers ont continué à évoluer et à développer de nouvelles tactiques pour dissimuler leur activité. Ils ont déployé différentes versions du logiciel malveillant sur les cibles. Chacune de ces variantes de logiciels malveillants a la même fonction.
Néanmoins, les recherches de Symantec ont mis en évidence certaines similitudes entre le logiciel malveillant détecté et la variante analysée par Cybereason. L’une de ces similitudes est l’utilisation de la bibliothèque CryptoPP C++.
Il y avait également un abus distinct de runll32.exe utilisé pour exécuter le chargeur de logiciel malveillant. Cela montre que les logiciels malveillants proviennent de la même source et que le groupe de hackers APT41 est lié à chacun de ces exploits.
L’autre similitude entre le logiciel malveillant détecté par Symantec et celui de Cybereason est qu’il s’est comporté comme une copie modifiée DDL 64 bits du SQLite3. Celui-ci est utilisé pour gérer les bases de données SQLite et sqlite.dll. Il y avait aussi un export malveillant de l’unité sqlite3_extension.
Le chargeur Spyder Loader charge des blobs cryptés AES a été détecté dans la phase d’infection initiale. Ces blobs sont utilisés pour créer la charge utile de l’étape suivante, appelée « wlbsctrl.dll ».
L’activité de l’acteur de la menace
Les analystes de Symantec ont par ailleurs noté que le mot de passe Mimikatz a également été déployé lors des dernières campagnes de piratage. Ce déploiement a permis au hacker de s’introduire profondément dans le réseau de la victime. Il s’agit d’une tendance commune aux hackers d’espionnage qui ciblent les particuliers, les entreprises et les agences gouvernementales pour pirater des informations sensibles.
Les chercheurs ont également observé le déploiement d’un outil de type cheval de Troie qui exportait des informations vers l’attaquant via un serveur de commande et de contrôle. Cela permettait à l’attaquant de voler des informations tout en évitant la détection.
Selon les chercheurs, « une DLL ZLib trojanisée qui avait plusieurs exportations malveillantes, dont l’une semblait attendre la communication d’un serveur de commande et de contrôle, tandis que l’autre chargeait une charge utile à partir du nom de fichier fourni dans la ligne de commande. »
Les chercheurs de Symantec n’ont pas été en mesure d’accéder à la charge utile finale. Néanmoins, il semble maintenant que l’objectif de la dernière campagne du groupe de hackers APT41 était de recueillir des renseignements auprès des principales institutions basées à Hong Kong.
Les chercheurs de Symantec ont en outre déclaré que Winnti poursuivrait la transformation de sa boîte à outils de logiciels malveillants. Il prévoit également de lancer de nouvelles charges utiles tout en ajoutant des couches supplémentaires pour cacher leurs opérations aux victimes. L’obscurcissement a permis au groupe de hackers d’opérer pendant environ un an.
Symantec a également ajouté que la campagne se poursuit depuis plusieurs années, ce qui a été rendu possible par l’utilisation de différentes variantes du logiciel malveillant Spyder Loader. La variante de ce logiciel malveillant a montré que le groupe d’acteurs de la menace était persistant et prêtait une attention particulière à ses victimes. En outre, ils pouvaient rester cachés pendant une longue période, ce qui signifie qu’ils ont pu accéder à de grands volumes de données.
« Les entreprises qui détiennent une propriété intellectuelle précieuse doivent s’assurer qu’elles ont pris toutes les mesures raisonnables pour protéger leurs réseaux contre ce type d’activité », concluent les chercheurs.
