Les compagnies maritimes et les laboratoires médicaux en Asie ont fait l’objet d’une campagne d’espionnage présumée menée par un acteur menaçant jamais vu auparavant surnommé Hydrochasma.
L’activité, qui se poursuit depuis octobre 2022, “s’appuie exclusivement sur des outils accessibles au public et vivant hors de la terre”, Symantec, de Broadcom Software, a dit dans un rapport partagé avec The Hacker News.
Il n’y a pas encore de preuves disponibles pour déterminer son origine ou son affiliation avec des acteurs de la menace connus, mais la société de cybersécurité a déclaré que le groupe pourrait s’intéresser aux secteurs verticaux de l’industrie impliqués dans les traitements ou les vaccins liés au COVID-19.
Les aspects les plus remarquables de la campagne sont l’absence d’exfiltration de données et de logiciels malveillants personnalisés, l’acteur menaçant utilisant des outils open source pour la collecte de renseignements. En utilisant des outils déjà disponibles, le but, semble-t-il, est non seulement de brouiller les efforts d’attribution, mais aussi de rendre les attaques plus furtives.
Le début de la chaîne d’infection est très probablement un message de phishing contenant un document leurre sur le thème du CV qui, une fois lancé, accorde un accès initial à la machine.
À partir de là, les attaquants ont été observés en train de déployer une multitude d’outils tels que Fast Reverse Proxy (PRF), Meterpreter, Cobalt Strike Beacon, Fscan, NavigateurGhostet Goust Procuration.
“Les outils déployés par Hydrochasma indiquent un désir d’obtenir un accès persistant et furtif aux machines des victimes, ainsi qu’un effort pour augmenter les privilèges et se propager latéralement sur les réseaux des victimes”, ont déclaré les chercheurs.
L’abus de FRP par des groupes de piratage est bien documenté. En octobre 2021, Positive Technologies a révélé des attaques montées par ChamelGang qui impliquaient l’utilisation de l’outil pour contrôler les hôtes compromis.
Puis en septembre dernier, AhnLab Security Emergency Response Center (ASEC) découvert attaques ciblant des entreprises sud-coréennes qui ont utilisé FRP pour établir un accès à distance à partir de serveurs déjà compromis afin de dissimuler les origines de l’adversaire.
Hydrochasma n’est pas le seul acteur menaçant ces derniers mois à avoir complètement évité les logiciels malveillants sur mesure. Cela inclut un groupe de cybercriminalité surnommé OPERA1ER (alias Bluebottle) qui utilise largement des outils à double usage et des logiciels malveillants de base dans des intrusions visant les pays francophones d’Afrique.