Systèmes De Contrôle Industriels

Des entités situées en Afghanistan, en Malaisie et au Pakistan sont dans le collimateur d’une campagne d’attaques qui cible les serveurs Microsoft Exchange non corrigés comme vecteur d’accès initial pour déployer le malware ShadowPad.

La société russe de cybersécurité Kaspersky, qui a détecté l’activité pour la première fois à la mi-octobre 2021, attribué à un acteur menaçant de langue chinoise jusque-là inconnu. Les cibles comprennent les organisations des secteurs des télécommunications, de la fabrication et des transports.

« Lors des attaques initiales, le groupe a exploité une vulnérabilité MS Exchange pour déployer le malware ShadowPad et infiltré systèmes d’automatisation du bâtiment de l’une des victimes », a déclaré la société. « En prenant le contrôle de ces systèmes, l’attaquant peut atteindre d’autres systèmes encore plus sensibles de l’organisation attaquée. »

ShadowPad, qui a émergé en 2015 en tant que successeur de PlugX, est une plate-forme de logiciels malveillants modulaire vendue en privé qui a été utilisée par de nombreux acteurs d’espionnage chinois au fil des ans.

Alors que sa conception permet aux utilisateurs de déployer à distance des plug-ins supplémentaires qui peuvent étendre ses fonctionnalités au-delà de la collecte de données secrètes, ce qui rend ShadowPad dangereux, c’est la technique anti-légale et anti-analyse intégrée au malware.

Publicité

« Lors des attaques de l’acteur observé, la porte dérobée ShadowPad a été téléchargée sur les ordinateurs attaqués sous le couvert d’un logiciel légitime », a déclaré Kaspersky. « Dans de nombreux cas, le groupe attaquant a exploité une vulnérabilité connue dans MS Exchange et a saisi les commandes manuellement, indiquant la nature hautement ciblée de leurs campagnes. »

La Cyber-Sécurité

Les preuves suggèrent que les intrusions montées par l’adversaire ont commencé en mars 2021, à peu près au moment où les vulnérabilités ProxyLogon dans les serveurs Exchange sont devenues publiques. Certaines des cibles auraient été violées en exploitant CVE-2021-26855, une vulnérabilité de falsification de requête côté serveur (SSRF) dans le serveur de messagerie.

Outre le déploiement de ShadowPad en tant que « mscoree.dll », un composant authentique de Microsoft .NET Framework, les attaques impliquaient également l’utilisation de Cobalt Strike, une variante PlugX appelée THOR, et des shells Web pour l’accès à distance.

Bien que les objectifs finaux de la campagne restent inconnus, les attaquants seraient intéressés par la collecte de renseignements à long terme.

« Les systèmes d’automatisation des bâtiments sont des cibles rares pour les acteurs de menaces avancés », a déclaré Kirill Kruglov, chercheur de Kaspersky ICS CERT. « Cependant, ces systèmes peuvent être une source précieuse d’informations hautement confidentielles et peuvent fournir aux attaquants une porte dérobée vers d’autres zones d’infrastructures plus sécurisées. »


Rate this post
Publicité
Article précédentAmazon organisera un autre événement de vente Prime cet automne
Article suivantComment rooter un appareil Android sans ordinateur ?
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici