Chinois "Remplacer Panda" Les pirates refont surface avec de nouvelles attaques d’espionnage


Un groupe d’espionnage parrainé par l’État chinois connu sous le nom de Remplacer Panda a refait surface ces dernières semaines avec une nouvelle attaque de phishing dans le but de voler des informations sensibles.

« L’APT chinois a utilisé un e-mail de harponnage pour envoyer une balise d’un framework Red Team connu sous le nom de » Viper «  », Cluster25 mentionné dans un rapport publié la semaine dernière.

« La cible de cette attaque est actuellement inconnue mais avec une forte probabilité, compte tenu des antécédents de l’attaque perpétrée par le groupe, il pourrait s’agir d’une institution gouvernementale d’un pays d’Asie du Sud. »

Remplacer Panda, également appelé NaïkonHellsing et Bronze Geneva, est connue pour opérer au nom des intérêts chinois depuis au moins 2005 pour mener des opérations de collecte de renseignements ciblant Pays de l’ANASE.

Les chaînes d’attaque déclenchées par l’acteur de la menace ont impliqué l’utilisation de documents leurres joints à des e-mails de harponnage conçus pour inciter les victimes visées à s’ouvrir et à se compromettre avec des logiciels malveillants.

Attaques d'espionnage

En avril dernier, le groupe était lié à une vaste campagne de cyberespionnage dirigée contre des organisations militaires en Asie du Sud-Est. Puis en août 2021, Naikon a été impliqué dans des cyberattaques ciblant le secteur des télécoms dans la région fin 2020.

La dernière campagne repérée par Cluster25 n’est pas différente en ce sens qu’elle exploite un document Microsoft Office militarisé pour lancer la chaîne de destruction des infections qui comprend un chargeur conçu pour lancer un shellcode, qui, à son tour, injecte une balise pour l’outil de l’équipe rouge Viper.

La cyber-sécurité

Disponible en téléchargement sur GitHub, Vipère est décrit comme un « outil de pénétration intranet graphique, qui modularise et militarise les tactiques et les technologies couramment utilisées dans le processus de pénétration intranet ».

Le cadre, similaire à Cobalt Strike, comporterait plus de 80 modules pour faciliter l’accès initial, la persistance, l’escalade des privilèges, l’accès aux informations d’identification, le mouvement latéral et l’exécution de commandes arbitraires.

« En observant l’arsenal de piratage de Naikon APT, il a été conclu que ce groupe a tendance à mener des opérations de renseignement et d’espionnage à long terme, typiques d’un groupe qui vise à mener des attaques contre des gouvernements et des responsables étrangers », ont souligné les chercheurs.

« Pour éviter la détection et maximiser le résultat, il a changé différents [tactics, techniques, and procedures] et des outils au fil du temps. »



ttn-fr-57