Un acteur malveillant jusqu’alors non documenté et d’origine inconnue a été associé à un certain nombre d’attaques ciblant des organisations des secteurs manufacturier, informatique et biomédical à Taiwan.
L’équipe Symantec Threat Hunter, qui fait partie de Broadcom, a attribué les attaques à une menace persistante avancée (APT) qu’elle suit sous le nom Ombre. Les preuves montrent que la campagne a commencé en février 2023 et s’est poursuivie au moins jusqu’en mai 2023.
Une agence gouvernementale située dans les îles du Pacifique, ainsi que des entités au Vietnam et aux États-Unis sont également probablement ciblées dans le cadre de cette activité.
« Cette activité s’est démarquée par l’utilisation par Grayling d’une technique distinctive de chargement latéral de DLL qui utilise un décrypteur personnalisé pour déployer des charges utiles », a déclaré la société. dit dans un rapport partagé avec The Hacker News. « La motivation qui motive cette activité semble être la collecte de renseignements. »
L’implantation initiale dans les environnements victimes aurait été réalisée grâce à l’exploitation d’une infrastructure publique, suivie du déploiement de shells Web pour un accès persistant.
Les chaînes d’attaque exploitent ensuite le chargement latéral des DLL via SbieDll_Hook pour charger une variété de charges utiles, notamment Cobalt Strike, NetSpy et le framework Havoc, ainsi que d’autres outils comme Mimikatz. Grayling a également été observé en train de tuer tous les processus répertoriés dans un fichier appelé processlist.txt.
Le chargement latéral des DLL est un technique populaire utilisé par divers acteurs malveillants pour contourner les solutions de sécurité et inciter le système d’exploitation Windows à exécuter du code malveillant sur le point final cible.
C’est souvent réalisé en plaçant une DLL malveillante portant le même nom qu’une DLL légitime utilisée par une application à un emplacement où elle sera chargée avant la DLL réelle en profitant de la Mécanisme d’ordre de recherche de DLL.
« Les attaquants entreprennent diverses actions une fois qu’ils obtiennent un premier accès aux ordinateurs des victimes, notamment l’augmentation des privilèges, l’analyse du réseau et l’utilisation de téléchargeurs », a déclaré Symantec.
Il convient de noter que l’utilisation du chargement latéral de DLL concernant SbieDll_Hook et SandboxieBITS.exe a déjà été observée dans le cas de Naikon APT lors d’attaques ciblant des organisations militaires en Asie du Sud-Est.
Symantec a déclaré à The Hacker News qu’il n’avait trouvé aucun chevauchement entre Grayling et Naikon, mais a noté que « le chargement latéral de DLL est une technique assez courante pour les acteurs APT de nos jours, en particulier parmi les acteurs opérant en Chine ».
Il n’existe aucune preuve suggérant que l’adversaire se soit livré à une quelconque forme d’exfiltration de données à ce jour, ce qui suggère que les motivations sont davantage orientées vers la reconnaissance et la collecte de renseignements.
L’utilisation d’outils accessibles au public est considérée comme une tentative de compliquer les efforts d’attribution, tandis que l’arrêt du processus indique que l’évasion de la détection est une priorité pour rester sous le radar pendant de longues périodes.
« Le ciblage massif des organisations taïwanaises indique qu’elles opèrent probablement à partir d’une région ayant un intérêt stratégique à Taiwan », a ajouté la société.