08 mars 2023Ravie LakshmananMenace persistante avancée

Pirates De Pandas Pointus

Des entités gouvernementales de premier plan en Asie du Sud-Est sont la cible d’une campagne de cyberespionnage menée par un acteur menaçant chinois connu sous le nom de Sharp Panda depuis la fin de l’année dernière.

Les intrusions se caractérisent par l’utilisation d’une nouvelle version du framework modulaire Soul, marquant une rupture avec les chaînes d’attaque du groupe observées en 2021.

La société israélienne de cybersécurité Check Point a dit les activités « de longue durée » ont historiquement distingué des pays comme le Vietnam, la Thaïlande et l’Indonésie. Sharp Panda a été documenté pour la première fois par la société en juin 2021, le décrivant comme une « opération hautement organisée qui a déployé des efforts considérables pour rester sous le radar ».

Fait intéressant, l’utilisation de la porte dérobée Soul était détaillé par Symantec de Broadcom en octobre 2021 dans le cadre d’une opération d’espionnage non attribuée ciblant les secteurs de la défense, de la santé et des TIC en Asie du Sud-Est.

Publicité

Les origines de l’implant, selon recherche publié par Fortinet FortiGuard Labs en février 2022, remonte à octobre 2017, avec le code malveillant réaffectant le code de Gh0st RAT et d’autres outils accessibles au public.

La chaîne d’attaque détaillée par Check Point commence par un e-mail de harponnage contenant un document leurre qui exploite le route royale Un arsenal RTF (Rich Text Format) pour supprimer un téléchargeur en exploitant l’une des nombreuses vulnérabilités de Microsoft Equation Editor.

Cadre Soul Hacker

Le téléchargeur, à son tour, est conçu pour récupérer un chargeur connu sous le nom de SoulSearcher à partir d’un serveur de commande et de contrôle (C&C) géolocalisé qui ne répond qu’aux requêtes provenant d’adresses IP correspondant aux pays ciblés.

Le chargeur est alors responsable du téléchargement, du décryptage et de l’exécution de la porte dérobée Soul et de ses autres composants, permettant ainsi à l’adversaire de récolter un large éventail d’informations.

« Le module principal Soul est responsable de la communication avec le serveur C&C et son objectif principal est de recevoir et de charger en mémoire des modules supplémentaires », a déclaré Check Point.

Découvrez les dernières tactiques d’évasion et stratégies de prévention des logiciels malveillants

Prêt à briser les 9 mythes les plus dangereux sur les attaques basées sur des fichiers ? Rejoignez notre prochain webinaire et devenez un héros dans la lutte contre les infections du patient zéro et les événements de sécurité du jour zéro !

RÉSERVEZ VOTRE PLACE

« Il est intéressant de noter que la configuration de la porte dérobée contient une fonction de type » silence radio « , où les acteurs peuvent spécifier des heures spécifiques dans une semaine lorsque la porte dérobée n’est pas autorisée à communiquer avec le serveur C&C. »

Les résultats sont une autre indication du partage d’outils qui prévaut parmi les groupes chinois de menaces persistantes avancées (APT) pour faciliter la collecte de renseignements.

« Alors que le framework Soul est utilisé depuis au moins 2017, les acteurs de la menace derrière lui ont constamment mis à jour et affiné son architecture et ses capacités », a déclaré la société.

Il a en outre noté que la campagne est probablement « organisée par des acteurs avancés de la menace soutenus par la Chine, dont les autres outils, capacités et position au sein du réseau plus large d’activités d’espionnage doivent encore être explorés ».

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentRencontrez Malibuca, le pro de Fortnite presque impossible à battre
Article suivantLa saison 3 d' »Outer Banks » renforce son emprise sur les charts Netflix
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici