Cypriot Hacker

Les chercheurs en cybersécurité ont dévoilé mardi les détails d’une campagne sophistiquée qui déploie des portes dérobées malveillantes dans le but d’exfiltrer des informations d’un certain nombre de secteurs industriels situés au Japon.

Surnommé «A41APT» par les chercheurs de Kaspersky, les résultats plongent dans une nouvelle série d’attaques menées par APT10 (alias Stone Panda ou Cicada) utilisant des logiciels malveillants auparavant non documentés pour fournir jusqu’à trois charges utiles telles que SodaMaster, P8RAT et FYAnti.

L’opération de collecte de renseignements de longue date est entrée en scène en mars 2019, avec des activités repérées aussi récemment qu’en novembre 2020, lorsque rapports émergé d’entreprises liées au Japon ciblées par l’acteur de la menace dans plus de 17 régions du monde.

Les nouvelles attaques découvertes par Kaspersky se seraient produites en janvier 2021. La chaîne d’infection s’appuie sur un processus d’attaque en plusieurs étapes, l’intrusion initiale se produisant via un abus de SSL-VPN en exploitant des vulnérabilités non corrigées ou des informations d’identification volées.

Hacking

Au centre de la campagne se trouve un malware appelé Ecipekac («Cake piece» à l’envers, mais avec une faute de frappe) qui traverse un «schéma de chargement compliqué» à quatre couches en utilisant quatre fichiers pour «charger et décrypter quatre modules de chargement sans fichier un après l’autre pour finalement charger la charge utile finale en mémoire. « 

Publicité

Alors que l’objectif principal de P8RAT et SodaMaster est de télécharger et d’exécuter des charges utiles récupérées à partir d’un serveur contrôlé par un attaquant, l’enquête de Kaspersky n’a donné aucun indice sur le malware exact livré sur les systèmes Windows cibles.

Fait intéressant, la troisième charge utile, FYAnti, est un module de chargement multicouche en lui-même qui passe par deux couches successives supplémentaires pour déployer un cheval de Troie d’accès à distance de dernière étape appelé QuasarRAT (ou xRAT).

« Les opérations et les implants de la campagne … sont remarquablement furtifs, ce qui rend difficile le suivi des activités de l’acteur menaçant », chercheur de Kaspersky Suguru Ishimaru m’a dit. « Les principales fonctionnalités furtives sont les implants sans fichier, l’obfuscation, l’anti-VM et la suppression des pistes d’activité. »


Rate this post
Publicité
Article précédentBME PR Pros s’associe à Google pour lancer un programme de leadership
Article suivantMême si l’industrie de l’anime vaut des milliards, pourquoi les animateurs vivent-ils dans la pauvreté?
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici