Des chercheurs en cybersécurité ont dévoilé mercredi une nouvelle campagne de cyberespionnage ciblant les organisations militaires en Asie du Sud-Est.

Attribuer les attaques à un acteur menaçant surnommé “Naikon APT, “La société de cybersécurité Bitdefender a présenté les tactiques, techniques et procédures en constante évolution adoptées par le groupe, y compris l’intégration de nouvelles portes dérobées nommées” Nebulae “et” RainyDay “dans leurs missions de vol de données. L’activité malveillante aurait été menée entre juin 2019 et mars 2021.

“Au début de l’opération, les acteurs de la menace ont utilisé le chargeur Aria-Body et les nébuleuses comme première étape de l’attaque,” les chercheurs mentionné. “Depuis septembre 2020, les acteurs de la menace ont inclus la porte dérobée RainyDay dans leur boîte à outils. Le but de cette opération était le cyberespionnage et le vol de données.”

auditeur de mot de passe

Apparemment lié à la Chine, Naikon (alias Override Panda, Lotus Panda ou Hellsing) a déjà ciblé des entités gouvernementales de la région Asie-Pacifique (APAC) à la recherche de renseignements géopolitiques. Bien que supposé initialement avoir disparu depuis 2015, des preuves du contraire sont apparues en mai dernier lorsque l’adversaire a été repéré en utilisant une nouvelle porte dérobée appelée «Aria-Body» pour pénétrer furtivement dans les réseaux et exploiter l’infrastructure compromise en tant que commande et contrôle (C2 ) pour lancer des attaques supplémentaires contre d’autres organisations.

La nouvelle vague d’attaques identifiée par Bitdefender a utilisé RainyDay comme porte dérobée principale, les acteurs l’utilisant pour effectuer des reconnaissances, fournir des charges utiles supplémentaires, effectuer des mouvements latéraux sur le réseau et exfiltrer des informations sensibles. La porte dérobée a été exécutée au moyen d’une technique connue sous le nom de Chargement latéral de la DLL, qui fait référence à la méthode éprouvée de chargement de DLL malveillantes dans le but de détourner le flux d’exécution d’un programme légitime comme Outlook Item Finder.

auditeur de mot de passe

Par mesure de précaution supplémentaire, le logiciel malveillant a également installé un deuxième implant appelé Nebulae pour collecter des informations système, effectuer des opérations sur les fichiers, et télécharger et télécharger des fichiers arbitraires depuis et vers le serveur C2. “La deuxième porte dérobée […] est censé être utilisé comme mesure de précaution pour ne pas perdre la persistance au cas où des signes d’infection seraient détectés », ont déclaré les chercheurs.

D’autres outils déployés par la porte dérobée RainyDay incluent un outil qui récupère les fichiers récemment modifiés avec des extensions spécifiques et les télécharge sur Dropbox, un récupérateur d’informations d’identification et divers utilitaires de réseau tels que les scanners et les proxys NetBIOS.

De plus, Bitdefender a déclaré que RainyDay est probablement le même malware que Kaspersky a divulgué plus tôt ce mois-ci, citant des similitudes dans les fonctionnalités et l’utilisation du chargement latéral de DLL pour réaliser l’exécution. Appelée «FoundCore», la porte dérobée a été attribuée à un acteur de langue chinoise nommé Cycldek dans le cadre d’une campagne de cyberespionnage dirigée contre le gouvernement et les organisations militaires au Vietnam.



Leave a Reply