L’acteur axé sur l’espionnage aligné sur la Chine, surnommé Winnti, a jeté son dévolu sur les organisations gouvernementales de Hong Kong dans le cadre d’une campagne en cours baptisée Opération CuckooBees.
Actif depuis au moins 2007, Winnti (alias APT41, Barium, Bronze Atlas et Wicked Panda) est le nom donné à un groupe prolifique de cybermenaces qui mène des activités d’espionnage parrainées par l’État chinois, visant principalement à voler la propriété intellectuelle d’organisations dans des pays développés. économies.
Les campagnes de l’acteur menaçant ont ciblé les secteurs de la santé, des télécommunications, de la haute technologie, des médias, de l’agriculture et de l’éducation, les chaînes d’infection reposant principalement sur des e-mails de harponnage avec pièces jointes pour pénétrer initialement dans les réseaux des victimes.
Plus tôt en mai, Cybereason a révélé des attaques de longue durée orchestrées par le groupe depuis 2019 pour siphonner les secrets technologiques des entreprises technologiques et de fabrication principalement situées en Asie de l’Est, en Europe occidentale et en Amérique du Nord.
On estime que les intrusions, matraquées sous le nom d’Opération CuckooBees, ont entraîné l’exfiltration de « centaines de gigaoctets d’informations », a révélé la société israélienne de cybersécurité.
La dernière activité, selon l’équipe Symantec Threat Hunter, qui fait partie de Broadcom Software, est une continuation de la campagne de vol de données propriétaires, mais avec un accent sur Hong Kong.
Les attaquants sont restés actifs sur certains des réseaux compromis pendant un an, la société a dit dans un rapport partagé avec The Hacker News, ajoutant que les intrusions ont ouvert la voie au déploiement d’un chargeur de logiciels malveillants appelé Espionqui a été révélé pour la première fois en mars 2021.
« [Spyder] est utilisé pour des attaques ciblées sur les systèmes de stockage d’informations, la collecte d’informations sur les appareils corrompus, l’exécution de charges utiles malveillantes, la coordination de l’exécution de scripts et la communication du serveur C&C », l’équipe de recherche sur les menaces de SonicWall Capture Labs c’est noté à l’époque.
Outre Spyder, d’autres outils de post-exploitation ont également été déployés, tels que Mimikatz et un module DLL zlib trojanisé capable de recevoir des commandes d’un serveur distant ou de charger une charge utile arbitraire.
Symantec a déclaré qu’il n’avait observé la livraison d’aucun logiciel malveillant de phase finale, bien que les motifs de la campagne soient soupçonnés d’être liés à la collecte de renseignements basée sur des chevauchements tactiques avec des attaques précédentes.
« Le fait que cette campagne soit en cours depuis plusieurs années, avec différentes variantes du logiciel malveillant Spyder Loader déployées à cette époque, indique que les acteurs derrière cette activité sont des adversaires persistants et ciblés, capables d’effectuer des opérations furtives sur les réseaux victimes. sur une longue période », a déclaré Symantec.
Winnti cible des entités gouvernementales sri-lankaises
Signe supplémentaire de la sophistication de Winnti, Malwarebytes découvert une série distincte d’attaques ciblant des entités gouvernementales au Sri Lanka début août avec une nouvelle porte dérobée appelée DBoxAgent qui exploite Dropbox pour le commandement et le contrôle.
« À notre connaissance, Winnti (une APT soutenue par la Chine) cible le Sri Lanka pour la première fois », a déclaré l’équipe de Malwarebytes Threat Intelligence.
La killchain se distingue également par l’utilisation d’une image ISO hébergée sur Google Drive qui prétend être un document contenant des informations sur l’aide économique, indiquant une tentative de l’acteur de la menace de capitaliser sur le crise économique en cours dans la nation.
Le lancement d’un fichier LNK contenu dans l’image ISO conduit à l’exécution de l’implant DBoxAgent qui permet à l’adversaire de réquisitionner à distance la machine et d’exporter des données sensibles vers le service de stockage en nuage. Dropbox a depuis désactivé le compte escroc.
La porte dérobée agit en outre comme un conduit pour abandonner les outils d’exploitation qui ouvriraient la porte à d’autres attaques et à l’exfiltration de données, y compris l’activation d’une séquence d’infection en plusieurs étapes qui aboutit à l’utilisation d’une porte dérobée C++ avancée nommée KEYPLUG, qui a été documentée par Mandiant de Google. en mars 2022.
Le développement marque la première fois qu’APT41 a été observé utilisant Dropbox à des fins de C&C, illustrant l’utilisation croissante par les attaquants d’offres légitimes de logiciel en tant que service et de cloud pour héberger du contenu malveillant.
« Winnti reste actif et son arsenal ne cesse de croître pour devenir l’un des groupes les plus sophistiqués de nos jours », a déclaré la société de cybersécurité. « L’emplacement du Sri Lanka en Asie du Sud est stratégique pour la Chine car il a un accès ouvert à l’océan Indien et est proche de l’Inde. »