Une porte dérobée précédemment non documentée qui a récemment été découverte ciblant une entreprise de vente au détail d’ordinateurs anonyme basée aux États-Unis a été liée à une opération d’espionnage chinoise de longue date surnommée Grayfly.
Fin août, la société de cybersécurité slovaque ESET a divulgué les détails d’un implant appelé SideWalk, conçu pour charger des plugins arbitraires envoyés depuis un serveur contrôlé par un attaquant, recueillir des informations sur les processus en cours dans les systèmes compromis et transmettre les résultats au serveur distant. .
La société de cybersécurité a attribué l’intrusion à un groupe qu’elle suit sous le nom de SparklingGoblin, un adversaire qui serait connecté à la famille de logiciels malveillants Winnti (alias APT41).
Mais les dernières recherches publiées par des chercheurs de Symantec de Broadcom ont épinglé la porte dérobée SideWalk sur le groupe d’espionnage lié à la Chine, soulignant les chevauchements du malware avec l’ancien malware Crosswalk, avec les dernières activités de piratage de Grayfly ciblant un certain nombre d’organisations au Mexique, à Taïwan, les États-Unis et le Vietnam.
« Une caractéristique de cette récente campagne était qu’un grand nombre de cibles se trouvaient dans le secteur des télécommunications. Le groupe a également attaqué des organisations dans les secteurs de l’informatique, des médias et de la finance », a déclaré l’équipe Threat Hunter de Symantec. mentionné dans un article publié jeudi.
Connu pour être actif au moins depuis mars 2017, Grayfly fonctionne comme la « bras d’espionnage d’APT41 » notoirement pour cibler une variété d’industries à la recherche de données sensibles en exploitant des serveurs Web Microsoft Exchange ou MySQL pour installer des shells Web pour l’intrusion initiale, avant de se propager latéralement sur le réseau et d’installer des portes dérobées supplémentaires qui permettent à l’acteur de la menace de maintenir un accès à distance et d’exfiltrer les informations accumulées.
Dans un cas observé par Symantec, la cyberactivité malveillante de l’adversaire a commencé par le ciblage d’un serveur Microsoft Exchange accessible sur Internet pour prendre pied dans le réseau. Cela a été suivi par l’exécution d’une chaîne de commandes PowerShell pour installer un shell Web non identifié, conduisant finalement au déploiement de la porte dérobée Sidewalk et d’une variante personnalisée de l’outil de vidage d’informations d’identification Mimikatz qui a été utilisé dans les précédentes attaques Grayfly.
« Grayfly est un acteur capable, susceptible de continuer à présenter un risque pour les organisations en Asie et en Europe dans divers secteurs, notamment les télécommunications, la finance et les médias », ont déclaré les chercheurs. « Il est probable que ce groupe continuera à développer et à améliorer ses outils personnalisés pour améliorer les tactiques d’évasion ainsi qu’à utiliser des outils de base tels que des exploits accessibles au public et des shells Web pour les aider dans leurs attaques. »