Autorité De Certification Numérique

Un acteur présumé parrainé par l’État chinois a violé une autorité de certification numérique ainsi que des agences gouvernementales et de défense situées dans différents pays d’Asie dans le cadre d’une campagne en cours depuis au moins mars 2022.

Symantec, de Broadcom Software, a lié les attaques à un groupe d’adversaires qu’il suit sous le nom Billbug, citant l’utilisation d’outils précédemment attribués à cet acteur. L’activité semble être motivée par l’espionnage et le vol de données, bien qu’aucune donnée n’ait été volée à ce jour.

Billbugaussi appelé Bronze Elgin, Lotus Blossom, Lotus Panda, Dragon du printempset Thrip, est un groupe de menace persistante avancée (APT) qui est censé opérer au nom des intérêts chinois. Les principales cibles sont les organisations gouvernementales et militaires en Asie du Sud-Est.

Les attaques montées par l’adversaire en 2019 impliquaient l’utilisation de portes dérobées comme Hannotog et Sagerunexavec les intrusions observées à Hong Kong, Macao, Indonésie, Malaisie, Philippines et Vietnam.

Les deux implants sont conçus pour accorder un accès à distance persistant au réseau victime, même si l’acteur de la menace est connu pour déployer un voleur d’informations connu sous le nom de Catchamas dans certains cas pour exfiltrer des informations sensibles.

Publicité

« Le ciblage d’une autorité de certification est remarquable, car si les attaquants réussissaient à la compromettre pour accéder aux certificats, ils pourraient potentiellement les utiliser pour signer un logiciel malveillant avec un certificat valide et l’aider à éviter la détection sur les machines victimes », ont déclaré des chercheurs de Symantec. a dit dans un rapport partagé avec The Hacker News.

« Il pourrait également utiliser des certificats compromis pour intercepter le trafic HTTPS. »

La société de cybersécurité a toutefois noté qu’il n’y avait aucune preuve indiquant que Billbug avait réussi à compromettre les certificats numériques. L’autorité concernée, a-t-il ajouté, a été informée de l’activité.

Une analyse de la dernière vague d’attaques indique que l’accès initial est probablement obtenu grâce à l’exploitation d’applications accessibles sur Internet, après quoi une combinaison d’outils sur mesure et vivant hors du terrain est utilisée pour atteindre ses objectifs opérationnels.

Db Counter
La Cyber-Sécurité

Cela comprend des utilitaires tels que WinRAR, Ping, Traceroute, NBTscan, Certutil, en plus d’une porte dérobée capable de télécharger des fichiers arbitraires, de collecter des informations système et de télécharger des données cryptées.

Un outil proxy multi-sauts open source appelé Passager clandestin et le malware Sagerunex, qui est déposé sur la machine via Hannotog. La porte dérobée, pour sa part, est équipée pour exécuter des commandes arbitraires, supprimer des charges utiles supplémentaires et siphonner des fichiers intéressants.

« La capacité de cet acteur à compromettre plusieurs victimes à la fois indique que ce groupe de menaces reste un opérateur qualifié et doté de ressources suffisantes, capable de mener des campagnes soutenues et de grande envergure », ont conclu les chercheurs.

« Billbug semble également ne pas être découragé par la possibilité de se voir attribuer cette activité, en réutilisant des outils qui ont été liés au groupe dans le passé. »


Rate this post
Publicité
Article précédentDes escrocs ont essayé de vendre la démo gratuite d’Unreal Engine 5 « Superman » sur Steam
Article suivantThe Midnight Club de Mike Flanagan sera lancé en 2022 sur Netflix !
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici