Posté le novembre 21, 2022 à 6:02
DES HACKERS PARRAINÉS PAR LA CHINE INFILTRENT DES RÉSEAUX GOUVERNEMENTAUX ET INSTALLENT DES LOGICIELS MALVEILLANTS SUR GOOGLE DRIVE
Les chercheurs de Trend Micro ont signalé que des hackers soutenus par la Chine installent des logiciels malveillants sur des réseaux gouvernementaux via Google Drive.
Les acteurs de la menace mènent différentes campagnes de spearphishing qui diffusent des logiciels malveillants à des endroits spécifiques tels que des zones de recherche, des réseaux gouvernementaux et des organisations universitaires. Les chercheurs ont déclaré que les activités des acteurs de la menace ont atteint un pic entre mars et octobre de cette année.
Les acteurs de la menace ont été liés au groupe Mustang Panda
Au cours de leur enquête, les chercheurs en sécurité disent croire que le groupe Mustang Panda est le groupe de menaces responsable des activités de piratage.
Selon les chercheurs de Trend Micro, le groupe cible généralement des organisations situées au Japon, à Taiwan, en Australie et aux Philippines.
Les acteurs de la menace ont également été découverts en train d’utiliser des comptes Google populaires pour mener à bien leurs activités de piratage et communiquer les cibles dans des e-mails. Ils tentent d’inciter leurs cibles à installer des logiciels malveillants personnalisés via des liens provenant de Google Drive.
Les chercheurs de Trend Micro ont également fourni plus de détails sur les activités des hackers. Selon leurs recherches, les acteurs de la menace utilisent des messages liés à des thèmes géopolitiques et la plupart des cibles étaient des agences et institutions gouvernementales.
Les chercheurs ont noté que les acteurs de la menace utilisent également des outils sophistiqués qui leur permettent de contourner toutes sortes de protocoles de sécurité sur les systèmes ciblés. Leurs liens pointent généralement vers des dossiers sur Dropbox ou Google Drive. Par conséquent, les mécanismes de sécurité se méfient moins des activités des logiciels malveillants, car les deux plateformes ont la réputation d’être sûres.
Plusieurs de ces liens renvoient à des fichiers stockés dans des formats RAR ou ZIP compressés et contenant diverses souches de logiciels malveillants comme PubLoad et ToneShell.
La campagne utilise des outils plus sophistiqués
Les chercheurs en sécurité expliquent également que les campagnes utilisent certaines des méthodes d’attaque du groupe Mustang Panda, contre lequel les experts ont lancé une mise en garde en septembre de cette année. Cependant, la récente campagne est légèrement différente car elle montre des signes d’amélioration des outils par rapport à ceux utilisés par Mustang. Ils peuvent rapidement étendre leur horizon d’attaque. Selon les chercheurs, le groupe a augmenté sa puissance et sa capacité d’attaque sur plusieurs organisations, ce qui le rend très dangereux.
Au début de l’année, les chercheurs de Proofpoint ont signalé une campagne menée par Mustang Panda, le groupe s’étant concentré sur des opérations en Europe. Le groupe de menaces a été découvert en train de cibler des diplomates de haut rang dans certains pays Européens.
Dans un autre rapport, les chercheurs ont alerté les organisations et le public sur une initiative de Mustang Panda visant des fonctionnaires Russes.
Puis, en mars, le même groupe de menaces a été découvert en train de mener des opérations dans des endroits comme l’Afrique et l’Asie du Sud-Est, ainsi que dans les régions du sud de l’Europe. Les exploits du groupe dans ces pays l’ont rendu plus populaire et, depuis lors, les chercheurs en sécurité surveillent ses activités. La dernière découverte prouve que le groupe de menaces peut également modifier ses outils et méthodes d’attaque pour échapper aux regards indiscrets des entreprises de cybersécurité.
Bien que les acteurs de la menace aient utilisé diverses méthodes de chargement de logiciels malveillants, le processus implique généralement le chargement latéral de DLL lorsque la cible lance un exécutable présent dans les archives.
Les acteurs de la menace font évoluer les logiciels malveillants dans leurs opérations
Les chercheurs ont de plus découvert que les hackers font évoluer leurs opérations avec différents types de logiciels malveillants issus de la même souche. Les trois souches de logiciels malveillants utilisées dans la campagne sont ToneShell, ToneIns et PubLoad. Parmi ces trois souches de logiciels malveillants, seule PubLoad a été mentionnée par le passé dans un rapport de Cisco Talos, en mai de cette année. Ce rapport décrivait des campagnes contre des cibles Européennes.
La souche de logiciel malveillant PubLoad assure la persistance en créant des tâches planifiées et en ajoutant des clés de registre. Elle gère également les communications de commande et de contrôle (C2) et décrypte le shellcode.
Trend Micro a révélé que les versions PubLoad sont dotées de systèmes anti-analyse plus complexes, ce qui signifie que Mustang Panda travaille sérieusement à améliorer l’efficacité de l’outil.
ToneShell est une porte dérobée autonome qui est chargée directement en mémoire et qui permet d’obscurcir le flux de code en implémentant des gestionnaires d’exceptions personnalisés.
D’autre part, ToneIns est un installateur pour ToneShell, qui est le principal backdoor utilisé dans la campagne. Il échappe à la détection et charge ToneShell tout en établissant un haut niveau de persistance dans l’ordinateur de la victime.
Il est très actif et peut être utilisé comme un outil anti-sandbox puisque le backdoor ne s’exécutera pas dans un environnement de débogage.
ToneShell délivre un paquet contenant les données d’identification de la victime après s’être connecté au serveur C2. Il attend que le serveur C2 donne de nouvelles instructions telles que l’autorisation de télécharger, l’exécution de fichiers ou le téléchargement de fichiers importants sur le serveur.
