Publicité


Un groupe de piratage informatique lié à un acteur de la menace de langue chinoise a été lié à une campagne de cyberespionnage avancée ciblant les organisations gouvernementales et militaires au Vietnam.

Les attaques ont été attribuées avec peu de confiance à la menace persistante avancée (APT) appelée Cycldek (ou Goblin Panda, Hellsing, APT 27 et Conimes), qui est connu pour utiliser des techniques de spear-phishing pour compromettre des cibles diplomatiques en Asie du Sud-Est, en Inde et aux États-Unis au moins depuis 2013.

Selon des chercheurs de Kaspersky, l’offensive, qui a été observée entre juin 2020 et janvier 2021, utilise une méthode appelée DLL side-loading pour exécuter un shellcode qui décrypte une charge utile finale baptisée “FoundCore. “

auditeur de mot de passe

Chargement latéral de la DLL a été une technique éprouvée utilisée par divers acteurs de la menace comme tactique d’obscurcissement pour contourner les défenses antivirus. En chargeant des DLL malveillantes dans des exécutables légitimes, l’idée est de masquer leur activité malveillante sous un système ou un processus logiciel de confiance.

Dans cette chaîne d’infection révélée par Kaspersky, un composant légitime de Microsoft Outlook charge une bibliothèque malveillante appelée “outlib.dll”, qui “détourne le flux d’exécution prévu du programme pour décoder et exécuter un shellcode placé dans un fichier binaire, rdmin.src . “

De plus, le malware est livré avec une couche supplémentaire conçue explicitement pour protéger le code de l’analyse de sécurité et rendre difficile le reverse-engineering. Pour y parvenir, on dit que l’acteur de la menace derrière le malware a nettoyé la plupart des charges utiles. entête, tout en laissant le reste avec des valeurs incohérentes.

Kaspersky a déclaré que la méthode “signale une avancée majeure dans la sophistication pour les attaquants dans cette région.”

En plus de donner aux attaquants un contrôle total sur le périphérique compromis, FoundCore est livré avec des capacités pour exécuter des commandes pour la manipulation du système de fichiers, la manipulation de processus, la capture de captures d’écran et l’exécution arbitraire de commandes. Des infections impliquant FoundCore ont également été trouvées pour télécharger deux logiciels malveillants supplémentaires. Le premier, DropPhone, rassemble les informations relatives à l’environnement de la machine victime et les exfiltre vers DropBox, tandis que le second, CoreLoader, exécute un code qui permet au malware de contrecarrer la détection par les produits de sécurité.

auditeur de mot de passe

La société de cybersécurité a théorisé que les attaques provenaient d’une campagne de spear-phishing ou d’autres infections précurseurs, qui déclenchent le téléchargement de documents RTF leurres à partir d’un site Web non autorisé, conduisant finalement au déploiement de FoundCore.

Parmi des dizaines d’organisations touchées, 80% d’entre elles sont basées au Vietnam et appartiennent au secteur gouvernemental ou militaire, ou sont autrement liées aux secteurs verticaux de la santé, de la diplomatie, de l’éducation ou de la politique, avec d’autres victimes, parfois repérées en Asie centrale et en Thaïlande. .

«Quel que soit le groupe qui a orchestré cette campagne, elle constitue une avancée significative en termes de sophistication», ont conclu les chercheurs. “Ici, ils ont ajouté beaucoup plus de couches d’obscurcissement et une ingénierie inverse considérablement compliquée.”

«Et cela indique que ces groupes pourraient chercher à étendre leurs activités. À l’heure actuelle, il peut sembler que cette campagne soit davantage une menace locale, mais il est fort probable que la porte dérobée FoundCore se trouve dans plus de pays dans différentes régions du pays. avenir,” m’a dit Mark Lechtik, chercheur principal en sécurité chez Kaspersky.



Previous articleGoogle Doodle exhorte les gens à porter un masque, à maintenir une distance sociale au milieu de la flambée des cas de COVID-19
Next articleUn signe d’affection Volume 1 • Anime UK News
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

Leave a Reply