15 mai 2023Ravie LakshmananCybermenace/malware

Cybercampagne

Les secteurs du gouvernement, de l’aviation, de l’éducation et des télécommunications situés en Asie du Sud et du Sud-Est sont passés sous le radar d’un nouveau groupe de piratage dans le cadre d’une campagne très ciblée qui a débuté à la mi-2022 et s’est poursuivie au premier trimestre de 2023.

Symantec, de Broadcom Software, suit l’activité sous son surnom sur le thème des insectes Lanceflyles attaques utilisant une porte dérobée « puissante » appelée Merdoor.

Les preuves recueillies jusqu’à présent indiquent que l’implant personnalisé a été utilisé dès 2018. L’objectif ultime de la campagne, basé sur les outils et le modèle de victimologie, est évalué comme étant la collecte de renseignements.

« La porte dérobée est utilisée de manière très sélective, n’apparaissant que sur une poignée de réseaux et un petit nombre de machines au fil des ans, son utilisation semblant être très ciblée », a déclaré Symantec. a dit dans une analyse partagée avec The Hacker News.

Publicité

« Les attaquants de cette campagne ont également accès à une version mise à jour du rootkit ZXShell. »

La Cyber-Sécurité

Bien que le vecteur d’intrusion initial exact utilisé ne soit actuellement pas clair, il est soupçonné d’avoir impliqué l’utilisation de leurres de phishing, le forçage brutal SSH ou l’exploitation de serveurs exposés à Internet.

Les chaînes d’attaque conduisent finalement au déploiement de ZXShell et Merdoor, un logiciel malveillant complet qui peut communiquer avec un serveur contrôlé par un acteur pour d’autres commandes et consigner les frappes au clavier.

ZXShell, d’abord documenté par Cisco en octobre 2014, est un rootkit doté de diverses fonctionnalités pour récolter des données sensibles à partir d’hôtes infectés. L’utilisation de ZXShell a été liée à divers acteurs chinois comme APT17 (Aurora Panda) et APT27 (alias Budworm ou Emissary Panda) dans le passé.

« Le code source de ce rootkit est accessible au public, il peut donc être utilisé par plusieurs groupes différents », a déclaré Symantec. « La nouvelle version du rootkit utilisé par Lancefly semble être de plus petite taille, alors qu’elle a également des fonctions supplémentaires et cible des logiciels antivirus supplémentaires à désactiver. »

Un autre lien chinois vient du fait que le rootkit ZXShell est signé par le certificat « Wemade Entertainment Co. Ltd », qui a été Signalé précédemment par Mandiant en août 2019 pour être associé à APT41 (alias Winnti).

WEBINAIRE À VENIR

Apprenez à arrêter les ransomwares avec une protection en temps réel

Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.

Sauvez ma place !

Les intrusions de Lancefly ont également été identifiées comme utilisant PlugX et son successeur ShadowPad, ce dernier étant une plate-forme modulaire de logiciels malveillants partagée en privé entre plusieurs acteurs chinois parrainés par l’État depuis 2015.

Cela dit, on sait aussi que certificat et partage d’outils est répandu parmi les groupes parrainés par l’État chinois, ce qui rend difficile l’attribution à un équipage d’attaque connu spécifique.

« Bien que la porte dérobée Merdoor semble exister depuis plusieurs années, elle semble n’avoir été utilisée que dans un petit nombre d’attaques au cours de cette période », a noté Symantec. « Cette utilisation prudente de l’outil peut indiquer une volonté de Lancefly de garder son activité sous le radar. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.5/5 - (38 votes)
Publicité
Article précédentGolden Kamuy Saison 4 Episode 7 Aperçu révélé, l’anime revient le 15 mai
Article suivantL’ère de la domination des super-héros est peut-être terminée et ça va
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici