Un adversaire connu pour ses attaques de points d’eau contre des entités gouvernementales a été lié à une série d’intrusions nouvellement détectées visant diverses organisations en Asie centrale et au Moyen-Orient.

L’activité malveillante, collectivement nommée «EmissarySoldier», a été attribuée à un acteur menaçant appelé LuckyMouse, et aurait eu lieu en 2020 dans le but d’obtenir des informations géopolitiques dans la région. Les attaques impliquaient le déploiement d’une boîte à outils baptisée SysUpdate (alias Soldier) dans un certain nombre d’organisations violées, y compris des agences gouvernementales et diplomatiques, des fournisseurs de télécommunications, une société de médias télévisés et une banque commerciale.

auditeur de mot de passe

LuckyMouse, également appelé APT27 et Emissary Panda, est un groupe de cyberespionnage sophistiqué qui a une histoire de violation de plusieurs réseaux gouvernementaux en Asie centrale et au Moyen-Orient. L’acteur a également été lié à des cyberattaques visant des organisations transnationales telles que l’Organisation de l’aviation civile internationale (OACI) en 2019 et a récemment attiré l’attention pour avoir exploité les failles de ProxyLogon afin de compromettre le serveur de messagerie d’une entité gouvernementale au Moyen-Orient.

EmissaireSoldat n’est que le dernier d’une série d’efforts de surveillance visant les cibles.

“Afin de compromettre les victimes, LuckyMouse utilise généralement des points d’eau, compromettant les sites Web susceptibles d’être visités par ses cibles prévues, a déclaré Matthieu Faou, chercheur en malwares d’ESET dans un rapport publié aujourd’hui. “Les opérateurs de LuckyMouse effectuent également des analyses de réseau pour trouver des serveurs vulnérables face à Internet gérés par leurs victimes prévues.”

De plus, ESET a également trouvé quelques systèmes Internet infectés exécutant Microsoft SharePoint, ce qui, selon les chercheurs, s’est produit en tirant parti des vulnérabilités d’exécution de code à distance dans l’application.

auditeur de mot de passe

Quelle que soit la méthode utilisée pour prendre pied au départ, la chaîne d’attaque aboutit au déploiement d’implants post-compromis personnalisés, SysUpdate ou HyperBro, qui ont tous deux un effet de levier Détournement de l’ordre de recherche de DLL pour charger des charges utiles malveillantes et contrecarrer la détection. «Le modèle trident comprend une application légitime vulnérable au détournement de DLL, une DLL personnalisée qui charge la charge utile et une charge utile binaire encodée Shikata Ga Nai», a noté Faou.

De son côté, SysUpdate fonctionne comme un outil modulaire, chaque composant étant consacré à un objectif opérationnel particulier. Cela implique l’utilisation abusive d’une application bénigne en tant que chargeur pour une DLL malveillante, qui à son tour charge la charge utile de première étape qui décode et déploie finalement l’implant de mémoire sur le système compromis. Depuis sa découverte en 2018, la boîte à outils a subi de nombreuses révisions consacrées à l’ajout de nouvelles fonctionnalités, indiquant que les opérateurs travaillent activement à la refonte de leur arsenal de malwares.

«LuckyMouse a été de plus en plus actif tout au long de 2020, passant apparemment par un processus de réoutillage dans lequel diverses fonctionnalités ont été progressivement intégrées dans la boîte à outils SysUpdate», a déclaré Faou. “Cela peut indiquer que les acteurs de la menace derrière LuckyMouse passent progressivement de l’utilisation d’HyperBro à SysUpdate.”



Leave a Reply