Posté le mai 3, 2022 à 11:21
LES HACKERS CHINOIS DE LOTUS PANDA REFONT SURFACE AVEC DES ATTAQUES PLUS SOPHISTIQUÉES
Le populaire groupe de cyberespionnage Lotus Panda (également connu sous le nom de Override Panda ou Naikon) semble avoir refait surface alors que beaucoup pensaient qu’il était en voie d’extinction. Le groupe serait né en Chine en 2010 et concentre ses attaques sur plusieurs pays du Sud-Est tels que Singapour, la Malaisie et la Thaïlande.
Naikon est devenu populaire en 2015 lorsque son logiciel malveillant a été découvert, ce qui a entraîné l’arrestation de certains de ses membres clés.
Suite à la série d’arrestations effectuées, on pensait que le groupe s’était dissous. Mais plusieurs rapports ont montré qu’ils se sont regroupés, et ont été découverts en train de faire du cyber espionnage à travers des pays comme les Philippines et l’Indonésie.
Récemment, le groupe Override Panda a été découvert en train de mener des campagnes d’espionnage sur des organisations et institutions gouvernementales en Asie du Sud-Est. Les rapports indiquent que les organisations ciblées par le groupe sont principalement impliquées dans les affaires étrangères, la science et la technologie.
Le groupe prévoit de mener des opérations de cyberespionnage à long terme
La société de recherche en cybersécurité Cluster25 a déclaré qu’après avoir observé l’arsenal de piratage de Lotus Panda, il était évident que le groupe prévoyait de mener des opérations d’espionnage et de cyberespionnage à long terme. Il s’agit d’une pratique courante pour les groupes qui s’intéressent aux gouvernements étrangers et à leurs représentants. Le groupe a également augmenté sa sophistication depuis la dernière fois qu’il était actif.
Le cabinet d’études a noté que pour maximiser le résultat et éviter d’être détecté, le groupe a modifié ses tactiques, techniques et procédures (TTP) et ses outils d’attaque. Cette mise à niveau permet de maintenir le logiciel malveillant dans l’ordinateur de la victime plus longtemps sans être détecté.
Les méthodes d’attaque ont également été renforcées par l’envoi, au cours des derniers mois, d’e-mails de spear-phishing à des institutions et organisations ciblées. Le groupe a été découvert en train d’utiliser un shellcode, utilisé par les acteurs malveillants pour délivrer une charge utile qui peut prendre le contrôle total d’un ordinateur ou d’un appareil compromis.
Les organisations gouvernementales d’Asie du Sud-Est sont des cibles probables
Bien que Cluster25 admette qu’il n’est pas confirmé que le groupe ait ciblé ses attaques, il affirme que la cible probable est une organisation gouvernementale.
Les chercheurs ont ajouté que, compte tenu de l’historique des attaques menées par le groupe, la cible est probablement une institution gouvernementale d’un pays d’Asie du Sud.
L’e-mail utilisé par les hackers pour l’attaque de phishing est rédigé en Chinois et prétend être une réponse authentique à un appel d’offres pour l’achat d’équipements de protection contre les incendies. Cela semble ironique, compte tenu de la véritable intention des hackers.
De plus, Lotus Panda a utilisé des outils logiciels libres tels que Asset reconnaissance Lighthouse (ARL) et Viper, avec leur documentation écrite en mandarin. Par conséquent, on pense que les codes ont été développés par un programmeur Chinois.
La récente campagne découverte par Cluster25 présente la même similitude d’attaque que les précédentes, puisqu’elle utilise des documents Microsoft Office pour commencer sa chaîne d’infiltration. Viper est disponible en téléchargement sur GitHub et est décrit comme un « outil graphique de pénétration d’intranet ».
« Viper modularise et arme les tactiques et technologies couramment utilisées dans le processus de pénétration d’intranet », note Cluster25.
La société a ajouté que l’ARL est un outil utilisé pour aider les testeurs de pénétration ou les équipes de sécurité à récupérer des actifs afin de découvrir les vulnérabilités et les surfaces d’attaque existantes.
Les outils sont utilisés par les hackers lorsqu’ils veulent générer des charges utiles et obtenir plus de détails sur une cible via un processus connu sous le nom d’empreinte de site Web. Son cadre est similaire à celui du populaire Cobalt Strike et comporte plus de 80 modules qui permettent l’accès initial et la persistance.
Le groupe Naikon est lié à plusieurs cyberespionnages par le passé
Les chaînes d’attaques lancées par le groupe de hackers comprennent l’utilisation de documents annexes leurres conçus pour inciter les victimes ciblées à ouvrir et à laisser s’installer à leur insu des logiciels malveillants dans leur système. Une fois que la cible a cliqué sur le lien ou ouvert le document joint, le logiciel malveillant s’installe silencieusement dans le système de la victime à son insu. Il peut y rester longtemps en exécutant divers types de commandes, y compris le vol de données importantes dans plusieurs fichiers de l’ordinateur compromis.
En avril de l’année dernière, le groupe Naikon a été lié à une vaste campagne de cyber-espionnage lancée contre des organisations militaires dans la région de l’Asie du Sud-Est. Quatre mois plus tard, le groupe a également été lié à une autre activité de cyberespionnage qui visait le secteur des télécommunications dans la région. Les chercheurs ont noté que le groupe est désormais plus puissant et hautement sophistiqué pour attaquer différentes cibles de grande valeur en Asie.
