Posté le novembre 17, 2022 à 5:31

UN GROUPE D’APT SOUTENU PAR LA CHINE CIBLANT DES ORGANISATIONS ASIATIQUES DÉCOUVERT

Des chercheurs en sécurité ont découvert un incident de piratage impliquant un acteur présumé soutenu par la Chine. Selon les rapports, l’acteur étatique a violé des agences gouvernementales et de défense dans différents pays et une autorité de certification numérique en Asie. La campagne de piratage est en cours depuis mars 2022, mais le groupe responsable de la campagne opère depuis bien plus longtemps.

Un nouveau rapport de Symantec révèle que l’attaque est le fait d’un groupe d’adversaires qu’il suit sous le nom de Billbug. La société de recherche a noté que l’activité de l’acteur de la menace semble être motivée par le vol de données et le cyberespionnage, bien qu’il n’y ait aucun rapport confirmé de vol de données depuis que le groupe a commencé à opérer. Billbug est également connu sous les noms de Lotus Panda, Lotus Blossom, Thrip, Spring Dragon et Bronze Elgin.

Le groupe s’est concentré sur l’Asie du Sud-Est

Le groupe est un groupe de menaces persistantes avancées (APT) qui serait lié au gouvernement Chinois. Ses principales cibles sont les organisations militaires et les agences gouvernementales en Asie du Sud-Est.

Les attaques menées par le groupe en 2019 ont impliqué l’utilisation de portes dérobées telles que Sagerunex et Hannotog. Les attaques ont été observées à travers plusieurs pays d’Asie du Sud-Est tels que Hong Kong, le Vietnam, les Philippines, la Malaisie, Macao et l’Indonésie.

Ces deux portes dérobées sont destinées à permettre aux attaquants d’accéder à distance aux réseaux des victimes. Dans d’autres cas, les hackers ont déployé Catchamas, un voleur d’informations, dans certaines organisations ciblées pour exfiltrer des informations sensibles.

Dans un rapport partagé par Symantec Researchers, ils ont noté que les hackers avaient effectivement prévu de cibler une autorité de certification. Leur objectif était de compromettre et d’accéder aux certificats pour leur permettre de signer leur logiciel malveillant avec un certificat valide. Cela leur donne la possibilité de rester sous le radar tout en causant des ravages dans les systèmes affectés.

« Il pourrait aussi potentiellement utiliser des certificats compromis pour intercepter le trafic HTTPS », ont déclaré les chercheurs tout en énonçant les différentes possibilités de la campagne de piratage.

Aucune preuve suggérant une compromission réussie

Si les chercheurs reconnaissent la capacité des attaquants, ils notent également qu’aucune preuve ne suggère que le certificat numérique a été compromis. L’autorité concernée a également été informée de la tentative d’atteinte à ses installations.

Selon l’analyse effectuée par les chercheurs, l’accès initial a probablement été obtenu par l’exploitation d’une application Internet. Après l’exploitation initiale, une combinaison d’outils autonomes et sur mesure a été déployée pour atteindre les objectifs opérationnels.

Cela inclut des utilitaires comme Certutil, NBTscan, Traceroute, Ping et WinRAR. Ils s’ajoutent à une porte dérobée qui permet de télécharger des fichiers arbitraires, de recueillir des informations arbitraires et de télécharger des données cryptées.

En outre, les chercheurs ont détecté un outil proxy multi-hop open-source dans l’attaque qu’ils ont appelé Stowaway. Ils ont également détecté le backdoor Sagerunex qui a été implanté sur le système ciblé par le biais de Hannatog.

La porte dérobée, quant à elle, est conçue pour exécuter des commandes arbitraires, voler des fichiers et déposer des charges utiles supplémentaires. Ceci afin d’augmenter la puissance de l’attaque et d’avoir la force de voler plus d’informations de la machine à l’avenir.

L’acteur de menace peut compromettre plusieurs victimes en même temps

Les chercheurs ont ajouté que les acteurs de la menace peuvent compromettre plusieurs victimes en même temps. Cela indique que le groupe dispose de ressources importantes et qu’il est très sophistiqué. Ils peuvent mener des campagnes de grande envergure et soutenues sur une longue période sans être détectés.

Les chercheurs pensent également que Billbug ne fonctionne pas comme les autres acteurs de la menace qui changent généralement d’outils pour éviter de les associer à une attaque. Dans le cas de Billbug, il ne semble pas être perturbé par le fait que son incident de piratage puisse être facilement relié à lui. Ils semblent aimer réutiliser les outils qu’ils ont utilisés dans le passé, ce qui semble étrange pour un groupe de hackers aussi sophistiqué.

Le groupe Symantec cible désormais les organisations Américaines

Selon la découverte des chercheurs, les récentes activités des attaquants montrent qu’ils s’intéressent également à davantage d’organisations. Les personnes à l’origine des attaques ont un intérêt direct dans ces pays et organisations. Les chercheurs ont noté que dans l’une des attaques contre un système gouvernemental, les attaquants ont compromis un grand nombre de machines sur le réseau de la victime.

Symantec a également révélé une autre nouvelle dimension de l’attaque du groupe. Dans le passé, ils se sont toujours concentrés sur les organisations militaires, le gouvernement et les secteurs des communications en Asie du Sud-Est pour leurs attaques. Mais maintenant, ils ciblent les organisations Américaines.

Summary

Article Name

UN GROUPE D'APT SOUTENU PAR LA CHINE CIBLANT DES ORGANISATIONS ASIATIQUES DÉCOUVERT

Description

Des chercheurs en sécurité ont découvert un incident de piratage impliquant un acteur présumé soutenu par la Chine. Selon les rapports, l'acteur étatique a violé des agences gouvernementales et de défense dans différents pays et une autorité de certification numérique en Asie.

Author

Marie Lagacé

Publisher Name

Koddos

Publisher Logo

Partagez :

Actualités connexes :

Août 30, 2023

MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS

Août 29, 2023

DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE