Les fournisseurs de services de télécommunications en Afrique sont la cible d’une nouvelle campagne orchestrée par un acteur menaçant lié à la Chine au moins depuis novembre 2022.
Les intrusions ont été épinglées sur une équipe de piratage piratée suivie par Symantec comme Poignardet qui est également suivi par la communauté de la cybersécurité au sens large sous le nom de Bronze Highland et Evasive Panda.
La campagne utilise des « plugins inédits du framework de logiciels malveillants MgBot », la société de cybersécurité a dit dans un rapport partagé avec The Hacker News. « Les attaquants ont également été vus en train d’utiliser un chargeur PlugX et d’abuser du logiciel légitime de bureau à distance AnyDesk. »
L’utilisation de Daggerfly de la Chargeur MgBot (alias BLame ou MgmBot) était mis en lumière par Malwarebytes en juillet 2020 dans le cadre d’attaques de phishing visant le personnel du gouvernement indien et des particuliers à Hong Kong.
Selon un profil publié par Secureworks, l’acteur de la menace utilise le harponnage comme vecteur d’infection initial pour supprimer MgBot ainsi que d’autres outils comme Cobalt Strike, un logiciel de simulation d’adversaire légitime, et un cheval de Troie d’accès à distance (RAT) basé sur Android nommé KsRemote.
Le groupe est soupçonné de mener des activités d’espionnage contre les défenseurs nationaux des droits de l’homme et de la démocratie et les pays voisins de la Chine dès 2014.
Les chaînes d’attaque analysées par Symantec montrent l’utilisation de Outils de vie hors de la terre (LotL) comme BITSAdmin et PowerShell pour fournir des charges utiles de niveau supérieur, y compris un exécutable AnyDesk légitime et un utilitaire de collecte d’informations d’identification.
L’acteur de la menace passe ensuite à la configuration de la persistance sur le système victime en créant un compte local et en déployant le cadre modulaire MgBot, qui est livré avec une large gamme de plug-ins pour collecter les données du navigateur, enregistrer les frappes au clavier, capturer des captures d’écran, enregistrer de l’audio et énumérer le Service d’annuaire actif.
Défendre avec tromperie : Faire progresser la sécurité Zero Trust
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
« Toutes ces capacités auraient permis aux attaquants de collecter une quantité importante d’informations sur les machines victimes », a déclaré Symantec. « Les capacités de ces plugins montrent également que l’objectif principal des attaquants au cours de cette campagne était la collecte d’informations. »
La nature globale de MgBot indique qu’il est activement maintenu et mis à jour par les opérateurs pour obtenir l’accès aux environnements des victimes.
La divulgation arrive près d’un mois après que SentinelOne a détaillé une campagne intitulée Tainted Love au premier trimestre 2023 destinée aux fournisseurs de télécommunications du Moyen-Orient. Il a été attribué à un groupe de cyberespionnage chinois qui partage des chevauchements avec Gallium (alias Othorene).
Symantec a en outre déclaré avoir identifié trois victimes supplémentaires du même cluster d’activités situées en Asie et en Afrique. Deux des victimes, qui ont été violées en novembre 2022, sont des filiales d’une entreprise de télécommunications dans la région du Moyen-Orient.
« Les entreprises de télécommunications seront toujours une cible clé dans les campagnes de collecte de renseignements en raison de l’accès qu’elles peuvent potentiellement fournir aux communications des utilisateurs finaux », a déclaré Symantec.