Un groupe de menaces précédemment associé au célèbre cheval de Troie d'accès à distance ShadowPad (RAT) a été observé en train d'utiliser des versions anciennes et obsolètes de progiciels populaires pour charger des logiciels malveillants sur des systèmes appartenant à plusieurs organisations gouvernementales et de défense cibles en Asie.
La raison de l'utilisation de versions obsolètes de logiciels légitimes est qu'elles permettent aux attaquants d'utiliser une méthode bien connue appelée chargement latéral de bibliothèque de liens dynamiques (DLL) pour exécuter leurs charges utiles malveillantes sur un système cible. La plupart des versions actuelles des mêmes produits protègent contre le vecteur d'attaque, qui consiste essentiellement à déguiser un fichier DLL malveillant en un fichier légitime et à le placer dans un répertoire où l'application chargerait et exécuterait automatiquement le fichier.
Des chercheurs de l'équipe Symantec Threat Hunter de Broadcom Software ont observé ombrage- groupe de menaces lié à l'utilisation de la tactique dans une campagne de cyber-espionnage. Jusqu'à présent, les cibles du groupe comprenaient le cabinet du Premier ministre, les organisations gouvernementales liées au secteur financier, les entreprises publiques de défense et d'aérospatiale et les entreprises publiques de télécommunications, d'informatique et de médias. L'analyse du fournisseur de sécurité a montré que la campagne était en cours depuis au moins le début de 2021, le renseignement étant l'objectif principal.
Une tactique de cyberattaque bien connue, mais réussie
"L'utilisation de applications légitimes pour faciliter le chargement latéral de DLL semble être une tendance croissante parmi les acteurs d'espionnage opérant dans la région », a déclaré Symantec dans un rapport cette semaine. C'est une tactique attrayante car les outils anti-malware ne détectent souvent pas l'activité malveillante car les attaquants ont utilisé d'anciennes applications pour le chargement latéral.
"Outre l'âge des applications, l'autre point commun est qu'elles étaient toutes des noms relativement bien connus et peuvent donc sembler anodines." déclare Alan Neville, analyste des renseignements sur les menaces au sein de l'équipe de chasseurs de menaces de Symantec.
Le fait que le groupe derrière la campagne actuelle en Asie utilise la tactique bien qu'elle soit bien comprise suggère que la technique donne un certain succès, a déclaré Symantec.
Neville dit que son entreprise n'a pas récemment observé d'acteurs menaçants utiliser cette tactique aux États-Unis ou ailleurs. "La technique est principalement utilisée par les attaquants qui se concentrent sur les organisations asiatiques", ajoute-t-il.
Neville dit que dans la plupart des attaques de la dernière campagne, les pirates ont utilisé l'utilitaire Windows légitime PsExec pour exécuter des programmes sur des systèmes distants pour effectuer le chargement latéral et déployer des logiciels malveillants. Dans chaque cas, les attaquants avaient déjà précédemment compromis les systèmes sur lesquels ils avaient installé les anciennes applications légitimes.
« [Les programmes] ont été installés sur chaque ordinateur compromis sur lequel les attaquants voulaient exécuter des logiciels malveillants. Dans certains cas, il peut s'agir de plusieurs ordinateurs sur le même réseau victime », explique Neville. Dans d'autres cas, Symantec les a également observés en train de déployer plusieurs applications légitimes sur une seule machine pour charger leurs logiciels malveillants, ajoute-t-il.
"Ils ont utilisé un large éventail de logiciels, y compris des logiciels de sécurité, des logiciels graphiques et des navigateurs Web", note-t-il. Dans certains cas, les chercheurs de Symantec ont également observé que l'attaquant utilisait des fichiers système légitimes de l'ancien système d'exploitation Windows XP pour activer l'attaque.
Logdatter, gamme de charges utiles malveillantes
L'une des charges utiles malveillantes est un nouveau voleur d'informations appelé Logdatter, qui permet aux attaquants d'enregistrer des frappes au clavier, de prendre des captures d'écran, d'interroger des bases de données SQL, d'injecter du code arbitraire et de télécharger des fichiers, entre autres. Parmi les autres charges utiles que l'acteur malveillant utilise dans sa campagne asiatique, citons un cheval de Troie basé sur PlugX, deux RAT surnommés Trochilus et Quasar, et plusieurs outils légitimes à double usage. Ceux-ci incluent Ladon, un cadre de test de pénétration, FScan et NBTscan pour analyser les environnements des victimes.
Neville dit que Symantec n'a pas été en mesure de déterminer avec certitude comment les acteurs de la menace pourraient obtenir un accès initial sur un environnement cible. Mais le phishing et le ciblage d'opportunités de systèmes non corrigés sont probablement des vecteurs.
"Alternativement, une attaque de la chaîne d'approvisionnement logicielle n'est pas en dehors du mandat de ces attaquants car les acteurs ayant accès à ShadowPad sont connu pour avoir lancé des attaques sur la chaîne d'approvisionnement dans le passé », note Neville. Une fois que les acteurs de la menace ont eu accès à un environnement, ils ont eu tendance à utiliser une gamme d'outils d'analyse tels que NBTScan, TCPing, FastReverseProxy et Fscan pour rechercher d'autres systèmes à cibler.
Pour se défendre contre ce type d'attaques, les entreprises doivent mettre en place des mécanismes d'audit et de contrôle des logiciels susceptibles de s'exécuter sur leur réseau. Ils doivent également envisager de mettre en œuvre une politique autorisant uniquement les applications sur liste blanche à s'exécuter dans l'environnement et de donner la priorité à la correction des vulnérabilités dans les applications destinées au public.
"Nous recommandons également de prendre des mesures immédiates pour nettoyer les machines qui présentent des signes de compromission", conseille Neville, "... y compris les références de cyclisme et de suivre le processus interne de votre propre organisation pour effectuer une enquête approfondie."
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
