Posté le mai 4, 2022 à 14:45
DES HACKERS SPONSORISÉS PAR LA CHINE SONT DÉCOUVERTS EN TRAIN DE DÉTOURNER DES PRODUITS DE CYBERSÉCURITÉ
Un rapport récent révèle qu’un groupe de cyberespionnage soutenu par la Chine a été découvert en train de lancer des cyberattaques sur le secteur des télécommunications en Asie centrale en utilisant les versions des logiciels malveillants PlugX et ShadowPad.
La société de cybersécurité SentinelOne a indiqué que l’acteur de la menace utilise le pseudonyme « Moshen Dragon », mais qu’il y a un chevauchement tactique avec un autre groupe de hackers connu sous le nom de Nomad Panda.
Les acteurs de la menace soutenus par les Chinois ont déjà utilisé les logiciels malveillants ShadowPad et PlugX pour plusieurs espionnages dans le passé. Selon Joey Chen, chercheur en sécurité chez SentinalOne, la fonctionnalité de ces outils est flexible et peut être adaptée à plusieurs besoins de piratage. Ils sont compilés par le biais d’un shellcode pour contourner facilement les produits traditionnels de protection Endpoint.
D’autres variantes sont en cours de déploiement
Le logiciel malveillant ShadowPad a été qualifié de « chef-d’œuvre des logiciels malveillants vendus par le secteur privé dans l’espionnage Chinois. » Il est devenu une mise à niveau de PlugX en 2015, bien que ce dernier soit encore fréquemment utilisé. Les variantes de PlugX ont également été vues occasionnellement dans la nature dans différentes campagnes de piratage impliquant des hackers Chinois.
Le logiciel malveillant est connu pour être déployé par un groupe de menaces parrainé par le gouvernement connu sous le nom de Bronze Alas (également appelé Winnti, Barium ou APT41). Cependant, depuis 2017, il est de plus en plus utilisé par plusieurs autres hackers liés à la Chine.
Plus tôt cette année, Secureworks a relié des groupes de cyberespionnage Chinois aux groupes d’activité de ShadowPad. Le groupe opère avec la direction de l’Armée populaire de libération Chinoise et du ministère de la Sécurité d’État (MSS).
Les dernières découvertes de SentinelOne correspondent au rapport précédent de Trellix, publié en mars. Le rapport révèle qu’une campagne d’attaque de RedFoxtrot cible les secteurs de la défense et des télécommunications en Asie du Sud en utilisant une nouvelle variante du logiciel malveillant PlugX appelée Talisman.
Le logiciel malveillant peut se cacher longtemps dans l’ordinateur de la cible
Les TTP de Moshen Dragon impliquent l’utilisation de logiciels antivirus légitimes appartenant à Symantec, McAfee, Kaspersky, BitDefender et Trend Micro pour charger latéralement Talisman et ShadowPad sur les systèmes affectés via une technique connue sous le nom de détournement d’ordre de recherche DDL.
Par la suite, la DLL détournée peut être utilisée pour décrypter et charger la charge utile finale de PlugX ou ShadowPad dans le même dossier que celui de l’exécutable de l’antivirus. Il est ainsi difficile pour les logiciels de sécurité de retracer le logiciel malveillant, ce qui lui permet de rester longtemps dans le système infiltré. Le logiciel malveillant persiste en créant un programme de tâche planifiée.
Outre le détournement des produits de sécurité, les attaquants utilisent également d’autres méthodes pour parvenir à leurs fins. Ils utilisent des scripts de l’équipe rouge et des outils de piratage connus pour faciliter l’exfiltration de données, les mouvements latéraux et le vol d’identifiants. Cependant, le vecteur d’accès initial n’est toujours pas clair.
Après avoir établi une forte emprise sur la cible, l’attaquant utilise le mouvement latéral en utilisant Impacket au sein du réseau. Il place ainsi une porte dérobée passive dans l’environnement de la victime et récolte autant d’informations d’identification qu’il le souhaite pour s’assurer un accès illimité au système. Les chercheurs en sécurité ont noté que l’exploitation peut durer très longtemps car ils ont dissimulé le logiciel malveillant pour le rendre très difficile à découvrir ou à repérer.
Le logiciel malveillant abuse des produits de sécurité pour le DLL sideloading
Ce qui fait de Moshen Dragon un type de menace unique en son genre, c’est l’abus systématique des produits de sécurité déployés pour le DLL sideloading. Pour le mouvement latéral, la menace utilise Impact, qui est une collection de classes Python. Elle plombe les services des tâches planifiées pour assurer la persistance de certaines charges utiles.
En outre, Moshen Dragon a utilisé la porte dérobée GUNTERS dans certaines attaques par le passé, mais elle est probablement utilisée comme une DLL différente sur chaque système.
SentinelOne ajoute qu’il existe d’autres variantes déployées par les acteurs de la menace en dehors de PlugX et ShadowPad. Les chercheurs affirment que les variantes chevauchent leurs activités afin de les rendre plus puissantes et difficiles à détecter. Cependant, il n’est pas clair si ces variantes sont uniquement déployées par Moshen Dragon ou par d’autres acteurs de menaces.
Par ailleurs, le géant technologique Google a récemment révélé qu’un groupe de hackers soutenu par la Chine s’en prend aux agences gouvernementales Russes. Le groupe recevrait son soutien de la Force de soutien stratégique de l’Armée populaire de libération de la Chine (PLA SSF). Le Threat Analysis Group (TAG) de Google a déclaré que le groupe avait réussi à pénétrer dans plusieurs entreprises Russes.
Outre la Russie, le groupe de menaces a également été découvert en train de cibler des organisations gouvernementales et militaires dans d’autres pays comme le Kazakhstan, l’Ukraine, la Mongolie et d’autres pays proches. Securenetworks a également observé que Mustang Panda ciblait des fonctionnaires ou des militaires familiers de la région.
