- La campagne de cyberespionnage chinoise utilise une nouvelle porte dérobée
- Le robot nécro acquiert de nouvelles capacités
- Plus d’activité TeamTNT
- Les publicités Google abusées pour diffuser des logiciels malveillants
La campagne de cyberespionnage chinoise utilise une nouvelle porte dérobée.
Check Point suit une campagne de cyberespionnage chinoise ciblant un gouvernement d’Asie du Sud-Est avec une porte dérobée Windows récemment observée. La campagne est en cours depuis plus de trois ans et utilise des documents de harponnage créés avec le constructeur RoyalRoad RTF. Les chercheurs notent : « En recherchant des fichiers similaires à la porte dérobée finale dans la nature, nous avons rencontré un ensemble de fichiers qui ont été soumis à VirusTotal en 2018. Les fichiers ont été nommés par l’auteur sous le nom de MClient et semblent faire partie d’un projet appelé en interne. SharpM, selon leurs chemins PDB. Les horodatages de compilation montrent également une période similaire entre juillet 2017 et juin 2018, et après examen des fichiers, il s’est avéré qu’il s’agissait d’anciennes versions de test de notre porte dérobée VictoryDll et de sa chaîne de chargeurs. » Check Point cite les preuves suivantes pour lier l’activité à un acteur chinois avec une « confiance moyenne à élevée » :
- « Le kit de construction d’exploits RoyalRoad RTF mentionné ci-dessus a été signalé par de nombreux chercheurs comme un outil de choix parmi les groupes APT chinois
- « Les serveurs C&C n’ont renvoyé les charges utiles qu’entre 01h00 et 08h00 UTC, ce qui, selon nous, correspond aux heures de travail dans le pays des attaquants. Par conséquent, l’éventail des origines possibles de cette attaque est limité
- « Les serveurs C&C n’ont renvoyé aucune charge utile (même pendant les heures de travail), en particulier la période entre le 1er et le 5 mai – c’était à l’époque des vacances de la fête du Travail en Chine
- « Certaines versions de test de la porte dérobée de 2018 ont été téléchargées sur VirusTotal depuis la Chine. »
/li>
Check Point ajoute : « Bien que nous ayons pu identifier des chevauchements dans les TTP avec plusieurs groupes APT chinois, nous n’avons pas été en mesure d’attribuer cet ensemble d’activités à un groupe connu. »
Le robot nécro acquiert de nouvelles capacités.
Cisco Talos affirme que le bot Necro Python a désormais la capacité d’exploiter les vulnérabilités dans « plus de dix applications Web différentes et le protocole SMB ». Il peut également désormais exploiter la crypto-monnaie Tezos en plus de Monero : « Le bot Necro Python montre un acteur qui suit les derniers développements en matière d’exploits d’exécution de commandes à distance sur diverses applications Web et inclut les nouveaux exploits dans le bot. Cela augmente ses chances de propagation et d’infection. Les utilisateurs doivent s’assurer d’appliquer régulièrement les dernières mises à jour de sécurité à toutes les applications, pas seulement aux systèmes d’exploitation. « Ici, nous avons affaire à un bot polymorphe auto-répliquant qui tente d’exploiter un logiciel côté serveur pour se propager. Le bot est similaire à d’autres, comme Mirai, en ce sens qu’il cible les routeurs des petits et des bureaux à domicile (SOHO). Cependant, ce bot utilise Python pour prendre en charge plusieurs plates-formes, plutôt que de télécharger un binaire spécifiquement compilé pour le système ciblé. »
Plus d’activité TeamTNT.
L’unité 42 de Palo Alto Networks a découvert que le groupe de cybercriminels TeamTNT récupérait les informations d’identification AWS IAM et Google Cloud, bien que le groupe se concentre toujours principalement sur le cryptomining : « La présence d’informations d’identification Google Cloud ciblées pour les collections représente le premier exemple connu d’un groupe d’attaquants ciblant les informations d’identification IAM sur des instances cloud compromises en dehors d’AWS. Bien qu’il soit encore possible que les informations d’identification Microsoft Azure, Alibaba Cloud, Oracle Cloud ou IBM Cloud IAM soient ciblées à l’aide de méthodes similaires, les chercheurs de l’Unité 42 n’ont pas encore trouvé de preuves des informations d’identification de ces fournisseurs de services cloud (CSP) étant ciblés. TeamTNT a commencé à collecter les informations d’identification AWS sur les instances cloud qu’ils avaient compromises dès août 2020. « En plus du ciblage de 16 informations d’identification d’application à partir d’applications et de plates-formes cloud, TeamTNT a ajouté l’utilisation de l’ensemble d’outils open source Kubernetes et de pénétration du cloud Peirates à leurs opérations de reconnaissance. Avec ces techniques disponibles, les acteurs de TeamTNT sont de plus en plus capables de collecter suffisamment d’informations dans les environnements AWS et Google Cloud cibles pour effectuer des opérations de post-exploitation supplémentaires. Cela pourrait conduire à davantage de cas de mouvements latéraux et d’attaques potentielles par escalade de privilèges qui pourraient finalement permettre aux acteurs de TeamTNT d’acquérir un accès administratif à l’ensemble de l’environnement cloud d’une organisation. »
Les publicités Google abusées pour diffuser des logiciels malveillants.
Morphisec affirme que les attaquants utilisent les publicités Google au paiement par clic pour créer des liens vers des packages malveillants pour AnyDesk, Dropbox et Telegram. Les packages installeront les infostealers Redline, mini-Redline ou Taurus. Les chercheurs observent que la campagne aurait été coûteuse à exécuter, déclarant : « Les données Google Adwords entre mai 2020 et avril 2021 montrent un prix d’enchère compris entre 0,42 $ et 3,97 $ pour les deux mots-clés » anydesk « et » anydesk download « . En supposant un taux de clics de 1 000 personnes, cela pourrait entraîner des frais allant de 420 $ à 3 970 $, même pour une petite campagne qui cible les États-Unis, par exemple. »