Un acteur menaçant appelé Mouche rouge a été lié à la compromission d’un réseau national situé dans un pays asiatique anonyme pendant six mois plus tôt cette année à l’aide d’un malware connu appelé ShadowPad.
« Les attaquants ont réussi à voler des informations d’identification et à compromettre plusieurs ordinateurs sur le réseau de l’organisation », a déclaré l’équipe Symantec Threat Hunter, qui fait partie de Broadcom. dit dans un rapport partagé avec The Hacker News. « Cette attaque est la dernière d’une série d’intrusions d’espionnage contre [critical national infrastructure] cibles. »
ShadowPad, également connu sous le nom de PoisonPlug, fait suite au cheval de Troie d’accès à distance PlugX et est un implant modulaire capable de charger dynamiquement des plugins supplémentaires à partir d’un serveur distant, selon les besoins, pour collecter des données sensibles sur des réseaux violés.
Il a été largement utilisé par une liste croissante de Lien avec la Chine des groupes d’États-nations depuis au moins 2019 dans des attaques visant des organisations de divers secteurs industriels.
« ShadowPad est déchiffré en mémoire à l’aide d’un algorithme de décryptage personnalisé », a noté Secureworks Counter Threat Unit (CTU) en février 2022. « ShadowPad extrait des informations sur l’hôte, exécute des commandes, interagit avec le système de fichiers et le registre et déploie de nouveaux modules pour étendre Fonctionnalité. »
Le premier signe d’une attaque visant l’entité asiatique aurait été enregistré le 23 février 2023, lorsque ShadowPad a été exécuté sur un seul ordinateur, suivi de l’ouverture de la porte dérobée trois mois plus tard, le 17 mai.
Un outil appelé Packerloader a également été déployé à peu près à la même époque. Il est utilisé pour exécuter du shellcode arbitraire, en l’utilisant pour modifier les autorisations d’un fichier de pilote appelé dump_diskfs.sys afin d’accorder l’accès à tous les utilisateurs, ce qui soulève la possibilité que le pilote ait pu être utilisé pour créer des dumps du système de fichiers pour une exfiltration ultérieure.
Les acteurs malveillants ont en outre été observés en train d’exécuter des commandes PowerShell pour collecter des informations sur les périphériques de stockage connectés au système, vider les informations d’identification du registre Windows, tout en effaçant simultanément les journaux d’événements de sécurité de la machine.
« Le 29 mai, les attaquants sont revenus et ont utilisé une version renommée de ProcDump (nom de fichier : alg.exe) pour supprimer les informations d’identification de LSASS », a déclaré Symantec. « Le 31 mai, une tâche planifiée est utilisée pour exécuter oleview.exe, principalement pour effectuer un chargement latéral et un mouvement latéral. »
On soupçonne que Redfly a utilisé des informations d’identification volées afin de propager l’infection à d’autres machines du réseau. Après près de deux mois d’interruption, l’adversaire est réapparu sur les lieux pour installer un enregistreur de frappe le 27 juillet et extraire à nouveau les informations d’identification du LSASS et du Registre le 3 août.
Symantec a déclaré que la campagne partage des infrastructures et des outils qui chevauchent des activités précédemment identifiées attribuées au groupe parrainé par l’État chinois appelé APT41 (alias Winnti), Redly se concentrant presque exclusivement sur le ciblage des entités d’infrastructures critiques.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
Cependant, rien ne prouve que l’organisation de piratage informatique ait organisé des attaques perturbatrices à ce jour.
« Les acteurs menaçants qui maintiennent une présence persistante et à long terme sur un réseau national présentent un risque évident d’attaques visant à perturber l’approvisionnement en électricité et d’autres services vitaux dans d’autres États en période de tension politique accrue », a déclaré la société.
Cette évolution intervient alors que Microsoft a révélé que des acteurs affiliés à la Chine se concentrent sur les médias visuels générés par l’IA pour les utiliser dans des opérations d’influence ciblant les États-Unis, ainsi que pour « mener des opérations de collecte de renseignements et d’exécution de logiciels malveillants contre les gouvernements et industries régionaux » dans la région de la mer de Chine méridionale. depuis le début de l’année.
« Typhon Framboise [formerly Radium] cible systématiquement les ministères gouvernementaux, les entités militaires et les entreprises connectées aux infrastructures critiques, en particulier les télécommunications », a déclaré le géant de la technologie. dit. « Depuis janvier 2023, le typhon Raspberry est particulièrement persistant. »
D’autres cibles incluent la base industrielle de défense américaine (Circle Typhoon/DEV-0322, Mulberry Typhoon/Manganèse et Volt Typhoon/DEV-0391), les infrastructures critiques américaines, les entités gouvernementales en Europe et aux États-Unis (Storm-0558) et Taiwan ( Typhon de charbon de bois / Typhon de chrome et de lin / Tempête-0919).
Il s’ensuit également un rapport de l’Atlantic Council qu’une loi chinoise oblige les entreprises opérant dans le pays à divulguer les failles de sécurité de leurs produits au ministère de l’Industrie et des Technologies de l’information (MIIT) permet le pays pour stocker les vulnérabilités et aider les pirates informatiques à « augmenter le rythme opérationnel, le succès et la portée ».