18 février 2025Ravie LakshmananSécurité malveillante / réseau

L’acteur de menace lié à la Chine connue sous le nom de Winnti a été attribué à une nouvelle campagne surnommée Pierre revivale qui ciblait les entreprises japonaises dans les secteurs de la fabrication, des matériaux et de l’énergie en mars 2024.

L’activité, détaillé par la société de cybersécurité japonaise LAC, chevauche un cluster de menaces suivi par Trend Micro en tant que Terre Freybug, qui a été évalué comme étant un sous-ensemble au sein du groupe de cyber-espionnage APT41, par la cyberison sous le nom de l’opération Cuckoobes, et par Symantec en tant que Blackfly.

APT41 a été décrit comme un acteur hautement qualifié et méthodique avec la capacité de monter des attaques d’espionnage ainsi que de empoisonner la chaîne d’approvisionnement. Ses campagnes sont souvent conçues avec la furtivité à l’esprit, en tirant parti d’une multitude de tactiques pour atteindre ses objectifs en utilisant un ensemble d’outils personnalisé qui contourne non seulement les logiciels de sécurité installés dans l’environnement, mais récolte également des informations critiques et établit des canaux secrètes pour un accès à distance persistant.

Cybersécurité

“Les activités d’espionnage du groupe, dont beaucoup sont alignées sur les objectifs stratégiques du pays, ont ciblé un large éventail de secteurs industriel public et privé à travers le monde”, a déclaré LAC.

“Les attaques de ce groupe de menaces se caractérisent par l’utilisation de logiciels malveillants Winnti, qui a un rootkit unique qui permet la cachette et la manipulation des communications, ainsi que par l’utilisation de certificats numériques légitimes volés dans les logiciels malveillants.”

Winnti, actif depuis au moins 2012, a principalement distingué les organisations de fabrication et de matériaux en Asie en 2022, avec campagnes récentes Entre novembre 2023 et octobre 2024, ciblant la région Asie-Pacifique (APAC) exploitant les faiblesses dans les applications accessibles au public comme IBM Lotus Domino pour déployer des logiciels malveillants comme suit –

  • De mort – une porte dérobée passive du CGI qui prend en charge la création de fichiers et l’exécution des commandes
  • Désactive – Un utilitaire d’évasion de défense écrit en C ++
  • Privatelog – Un chargeur qui est utilisé pour déposer Winnti Rat (aka Deploylog) qui, à son tour, livre un rootkit au niveau du noyau nommé Winnkit au moyen d’un installateur Rootkit
  • Piste – Une porte dérobée qui utilise l’API Microsoft Graph pour récupérer les commandes – Gestion des fichiers et des processus, et proxy personnalisé – à partir des messages maillés
  • Mélanger – Un rootkit avec des capacités pour intercepter l’interface réseau TCPIP, ainsi que créer des canaux secrètes avec des points d’extrémité infectés dans Intranet
  • Shadowgaze – Un port d’écoute de réutilisation de porte dérobée passive de IIS Server

La dernière chaîne d’attaque documentée par LAC s’est avérée exploiter une vulnérabilité d’injection SQL dans un système de planification des ressources d’entreprise non spécifiée (ERP) pour supprimer des shells Web tels que China Chopper et Behinder (AKA BingXia et Icescorpion) sur le serveur compromis, en utilisant l’accès, l’accès Pour effectuer la reconnaissance, collectez des informations d’identification pour le mouvement latéral et offrez une version améliorée du malware Winnti.

La portée de l’intrusion aurait été élargie davantage pour violer un fournisseur de services géré (MSP) en tirant parti d’un compte commun, suivi par l’armement de l’infrastructure de l’entreprise pour propager le logiciel malveillant davantage à trois autres organisations.

Lac a déclaré qu’il avait également trouvé des références à Treadstone et Stonev5 dans la campagne Revivalstone, le premier étant un contrôleur conçu pour fonctionner avec le malware Winnti et qui a également été inclus dans le I-soon (aka anxun) fuite de l’année dernière en relation avec un panneau de commande de logiciels malveillants Linux.

Cybersécurité

“Si Treadstone a la même signification que les logiciels malveillants Winnti, ce n’est que de la spéculation, mais Stonev5 pourrait également signifier la version 5, et il est possible que le malware utilisé dans cette attaque soit Winnti v5.0”, a déclaré les chercheurs Takuma Matsumoto et Yoshihiro Ishikawa .

“Le nouveau logiciel malveillant Winnti a été mis en œuvre avec des fonctionnalités telles que l’obscurcissement, les algorithmes de chiffrement mis à jour et l’évasion par des produits de sécurité, et il est probable que ce groupe d’attaquant continuera à mettre à jour les fonctions du malware Winnti et l’utilisera dans les attaques.”

La divulgation vient comme Fortinet Fortiguard Labs détaillé Une suite d’attaque basée sur Linux surnommée SSHDinjector qui est équipée pour détourner le démon SSH sur les appareils réseau en injectant des logiciels malveillants dans le processus d’accès persistant et d’actions secrètes depuis novembre 2024.

La suite malware, associée à un autre groupe de piratage chinois de l’État-nation connu sous le nom de Daggerfly (aka Bronze Highland et Evasif Panda), est conçu pour l’exfiltration de données, écoutant les instructions entrantes d’un serveur distant pour énumérer les processus et services en cours d’exécution, effectuer des opérations de fichiers, Lancez le terminal et exécutez les commandes du terminal.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57