Un acteur avancé de menace persistante aligné sur la Chine connu sous le nom de TA413 a militarisé les failles récemment révélées dans Sophos Firewall et Microsoft Office pour déployer une porte dérobée inédite appelée BASZÉRO dans le cadre d’une campagne d’espionnage visant des entités tibétaines.
Les cibles étaient principalement des organisations associées à la communauté tibétaine, y compris des entreprises associées au gouvernement tibétain en exil.
Les intrusions impliquaient l’exploitation de CVE-2022-1040 et CVE-2022-30190 (alias “Follina”), deux vulnérabilités d’exécution de code à distance dans Sophos Firewall et Microsoft Office, respectivement.
“Cette volonté d’intégrer rapidement de nouvelles techniques et méthodes d’accès initial contraste avec l’utilisation continue par le groupe de capacités bien connues et signalées, telles que le militariseur Royal Road RTF, et les tendances souvent laxistes en matière d’approvisionnement en infrastructures”, a déclaré Recorded Future. a dit dans une nouvelle analyse technique.
TA413, également connu sous le nom de LuckyCat, a été lié au ciblage sans relâche d’organisations et d’individus associés à la communauté tibétaine au moins depuis 2020 en utilisant des logiciels malveillants tels que ExileRAT, Sepulcher et une extension de navigateur Mozilla Firefox malveillante appelée FriarFox.
L’exploitation par le groupe de la faille Follina avait déjà été mise en évidence par Proofpoint en juin 2022, même si l’objectif ultime des chaînes d’infection restait flou.
Un document RTF malveillant a également été utilisé dans une attaque de spear-phishing identifiée en mai 2022 qui exploitait les failles de Microsoft Equation Editor pour supprimer l’implant LOWZERO personnalisé. Ceci est réalisé en employant un Outil de militarisation Royal Road RTFqui est largement partagé par les acteurs chinois de la menace.
Dans un autre e-mail de phishing envoyé à une cible tibétaine fin mai, une pièce jointe Microsoft Word hébergée sur le service Google Firebase a tenté d’exploiter la vulnérabilité Follina pour exécuter une commande PowerShell conçue pour télécharger la porte dérobée à partir d’un serveur distant.
LOWZERO, la porte dérobée, est capable de recevoir des modules supplémentaires de son serveur de commande et de contrôle (C2), mais uniquement à condition que la machine compromise soit considérée comme présentant un intérêt pour l’auteur de la menace.
“Le groupe continue d’intégrer de nouvelles capacités tout en s’appuyant sur des outils éprouvés [tactics, techniques, and procedures,” the cybersecurity firm said.
“TA413’s adoption of both zero-day and recently published vulnerabilities is indicative of wider trends with Chinese cyber-espionage groups whereby exploits regularly appear in use by multiple distinct Chinese activity groups prior to their widespread public availability.”