Les secteurs du gouvernement, de l’aviation, de l’éducation et des télécommunications situés en Asie du Sud et du Sud-Est sont passés sous le radar d’un nouveau groupe de piratage dans le cadre d’une campagne très ciblée qui a débuté à la mi-2022 et s’est poursuivie au premier trimestre de 2023.
Symantec, de Broadcom Software, suit l’activité sous son surnom sur le thème des insectes Lanceflyles attaques utilisant une porte dérobée « puissante » appelée Merdoor.
Les preuves recueillies jusqu’à présent indiquent que l’implant personnalisé a été utilisé dès 2018. L’objectif ultime de la campagne, basé sur les outils et le modèle de victimologie, est évalué comme étant la collecte de renseignements.
« La porte dérobée est utilisée de manière très sélective, n’apparaissant que sur une poignée de réseaux et un petit nombre de machines au fil des ans, son utilisation semblant être très ciblée », a déclaré Symantec. a dit dans une analyse partagée avec The Hacker News.
« Les attaquants de cette campagne ont également accès à une version mise à jour du rootkit ZXShell. »
Bien que le vecteur d’intrusion initial exact utilisé ne soit actuellement pas clair, il est soupçonné d’avoir impliqué l’utilisation de leurres de phishing, le forçage brutal SSH ou l’exploitation de serveurs exposés à Internet.
Les chaînes d’attaque conduisent finalement au déploiement de ZXShell et Merdoor, un logiciel malveillant complet qui peut communiquer avec un serveur contrôlé par un acteur pour d’autres commandes et consigner les frappes au clavier.
ZXShell, d’abord documenté par Cisco en octobre 2014, est un rootkit doté de diverses fonctionnalités pour récolter des données sensibles à partir d’hôtes infectés. L’utilisation de ZXShell a été liée à divers acteurs chinois comme APT17 (Aurora Panda) et APT27 (alias Budworm ou Emissary Panda) dans le passé.
« Le code source de ce rootkit est accessible au public, il peut donc être utilisé par plusieurs groupes différents », a déclaré Symantec. « La nouvelle version du rootkit utilisé par Lancefly semble être de plus petite taille, alors qu’elle a également des fonctions supplémentaires et cible des logiciels antivirus supplémentaires à désactiver. »
Un autre lien chinois vient du fait que le rootkit ZXShell est signé par le certificat « Wemade Entertainment Co. Ltd », qui a été Signalé précédemment par Mandiant en août 2019 pour être associé à APT41 (alias Winnti).
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
Les intrusions de Lancefly ont également été identifiées comme utilisant PlugX et son successeur ShadowPad, ce dernier étant une plate-forme modulaire de logiciels malveillants partagée en privé entre plusieurs acteurs chinois parrainés par l’État depuis 2015.
Cela dit, on sait aussi que certificat et partage d’outils est répandu parmi les groupes parrainés par l’État chinois, ce qui rend difficile l’attribution à un équipage d’attaque connu spécifique.
« Bien que la porte dérobée Merdoor semble exister depuis plusieurs années, elle semble n’avoir été utilisée que dans un petit nombre d’attaques au cours de cette période », a noté Symantec. « Cette utilisation prudente de l’outil peut indiquer une volonté de Lancefly de garder son activité sous le radar. »