Un groupe de menaces persistantes avancées (APT) soutenu par l’État chinois, connu pour cibler des entités japonaises, a été attribué à une nouvelle campagne d’espionnage de longue durée ciblant de nouvelles zones géographiques, suggérant un « élargissement » du ciblage de l’acteur menaçant.
Les intrusions généralisées, qui auraient commencé au plus tôt à la mi-2021 et se sont poursuivies aussi récemment qu’en février 2022, ont été liées à un groupe suivi comme Cigaleégalement connu sous le nom d’APT10, Stone Panda, Potassium, Bronze Riverside ou MenuPass Team.
« Les victimes de cette campagne Cicada (alias APT10) comprennent des organisations gouvernementales, juridiques, religieuses et non gouvernementales (ONG) dans plusieurs pays du monde, notamment en Europe, en Asie et en Amérique du Nord », ont déclaré des chercheurs de l’équipe Symantec Threat Hunter. , qui fait partie de Broadcom Software, mentionné dans un rapport partagé avec The Hacker News.
« Il y a une forte concentration sur les victimes dans les secteurs du gouvernement et des ONG, certaines de ces organisations travaillant dans les domaines de la religion et de l’éducation », a déclaré Brigid O. Gorman, développeur principal d’informations à l’équipe Symantec Threat Hunter, à The Hacker News.
La plupart des organisations ciblées sont situées aux États-Unis, au Canada, à Hong Kong, en Turquie, en Israël, en Inde, au Monténégro et en Italie, aux côtés d’une victime au Japon, l’adversaire passant jusqu’à neuf mois sur les réseaux de certaines de ces victimes. .
« Il y a aussi des victimes dans les secteurs des télécommunications, juridique et pharmaceutique, mais les organisations gouvernementales et à but non lucratif semblent avoir été au centre de cette campagne », a ajouté Gorman.
En mars 2021, les chercheurs de Kaspersky ont mis fin à une opération de collecte de renseignements entreprise par le groupe pour déployer des implants de collecte d’informations à partir d’un certain nombre de secteurs industriels situés au Japon.
Plus tôt en février, Stone Panda a été impliqué dans une attaque organisée de la chaîne d’approvisionnement visant le secteur financier taïwanais dans le but de voler des informations sensibles à partir de systèmes compromis.
La nouvelle série d’attaques observées par Symantec commence avec les acteurs obtenant un accès initial au moyen d’une vulnérabilité connue et non corrigée dans les serveurs Microsoft Exchange, l’utilisant pour déployer la porte dérobée de leur choix, SodaMaster.
« Cependant, nous n’avons pas observé les attaquants exploiter une vulnérabilité spécifique, nous ne pouvons donc pas dire s’ils ont exploité ProxyShell ou ProxyLogon. [flaws] », a déclaré Gorman.
SodaMaster est un cheval de Troie d’accès à distance basé sur Windows qui est équipé de fonctionnalités pour faciliter la récupération de charges utiles supplémentaires et exfiltrer les informations vers son serveur de commande et de contrôle (C2).
Parmi les autres outils déployés lors des infiltrations, citons l’utilitaire de vidage des informations d’identification Mimikatz, NBTScan pour effectuer une reconnaissance interne, WMIExec pour l’exécution de commandes à distance et VLC Media Player pour lancer un chargeur personnalisé sur l’hôte infecté.
« Cette campagne avec des victimes dans un si grand nombre de secteurs semble montrer que le groupe s’intéresse désormais à une plus grande variété de cibles », a déclaré Gorman.
« Les types d’organisations ciblées – les organisations à but non lucratif et les organisations gouvernementales, y compris celles impliquées dans des activités religieuses et éducatives – sont les plus susceptibles d’intéresser le groupe à des fins d’espionnage. Le type d’activité que nous voyons sur les machines victimes et l’activité passée de Cicada également tous indiquent que la motivation derrière cette campagne est l’espionnage. »
