25 mars 2025Ravie LakshmananCyber-Espionage / Sécurité du réseau

Une grande entreprise de télécommunications située en Asie aurait été violée par des pirates chinois parrainés par l’État qui ont passé plus de quatre ans à l’intérieur de ses systèmes, selon un nouveau rapport de la société d’intervention en cas d’incident Sygnia.

La société de cybersécurité suit l’activité sous le nom Fourmi de tisseranddécrivant l’acteur de menace comme furtif et très persistant. Le nom du fournisseur de télécommunications n’a pas été divulgué.

“En utilisant des coquilles Web et des tunnels, les attaquants ont maintenu la persistance et facilité le cyber-espionnage”, Sygnia dit. “Le groupe derrière cette intrusion […] visait à gagner et à maintenir un accès continu aux fournisseurs de télécommunications et à faciliter le cyber-espionnage en collectant des informations sensibles. “

La chaîne d’attaque aurait impliqué l’exploitation d’une application orientée vers le public pour supprimer deux coquilles Web différentes, une variante cryptée de China Chopper et un outil malveillant sans papiers précédemment surnommé InMemory. Il convient de noter que China Chopper a été utilisé par plusieurs groupes de piratage chinois dans le passé.

Cybersécurité

Inmemory, comme son nom l’indique, est conçu pour décoder une chaîne codée de base64 et l’exécuter entièrement en mémoire sans l’écrire sur le disque, ne laissant ainsi aucun sentier médico-légal.

“Le shell Web ‘Inmemory” a exécuté le code C # contenu dans un exécutable portable (PE) nommé’ EVAL.DLL ” qui exécute finalement la charge utile livrée via une demande HTTP “, a déclaré Sygnia.

Les coquilles Web se sont avérées agir comme un tremplin pour livrer des charges utiles de la prochaine étape, la plus notable étant un outil de tunnel HTTP récursif qui est utilisé pour faciliter le mouvement latéral sur SMB, une tactique précédemment adoptée par d’autres acteurs de menace comme Elephant Beetle.

De plus, le trafic crypté passant par le tunnel de shell Web sert de conduit pour effectuer une série d’actions post-exploits, notamment –

  • Papet un traçage des événements pour Windows (ETW) et l’interface de scan anti-logiciels (AMSI) pour contourner la détection
  • Utilisation de System.Management.automation.dll pour exécuter des commandes PowerShell sans initier PowerShell.exe, et
  • Exécuter des commandes de reconnaissance contre l’environnement Active Directory compromis pour identifier les comptes de haut niveau et les serveurs critiques

Sygnia a déclaré que Weaver Ant présente des caractéristiques généralement associées à un groupe de cyber-espionnage China-Nexus en raison des modèles de ciblage et des objectifs “bien définis” de la campagne.

Ce lien est également mis en évidence par la présence du Shell China Chopper Web, l’utilisation d’un réseau de boîtes de relais opérationnelles (ORB) comprenant des routeurs zyxels pour procurer le trafic et obscurcir leur infrastructure, les heures de travail des pirates et le déploiement d’une porte-porte d’embourse d’obstacles anciennement attribuée à la panda émissaire.

“Tout au long de cette période, Weaver Ant a adapté son TTPS à l’environnement du réseau évolutif, utilisant des méthodes innovantes pour retrouver l’accès et se soutenir”, a déclaré la société. “Le modus operandi des ensembles d’intrusion chinois-nexus implique généralement le partage d’outils, d’infrastructures et parfois de main-d’œuvre, tels que par le biais de entrepreneurs partagés.”

La Chine identifie 4 pirates taïwanais prétendument derrière l’espionnage

La divulgation intervient quelques jours après que le ministère chinois de la sécurité des États (MSS) accusé Quatre personnes prétendument liées aux militaires de Taiwan de conduisant des cyberattaques contre le continent. Taiwan a réfuté les allégations.

Cybersécurité

Le MSS a déclaré que les quatre individus sont membres du commandement de l’information, des communications et des forces électroniques de Taïwan (ICEFCOM), et que l’entité engage des attaques de phishing, des courriels de propagande ciblant le gouvernement et les agences militaires et des campagnes de désinformation à l’aide d’alias sur les réseaux sociaux.

Les intrusions auraient également impliqué l’utilisation approfondie d’outils open source comme le shell Web Atsword, Icescorpion, Metasploit et Quasar Rat.

“Le« Commandement des informations et des forces électroniques de l’information »a spécifiquement embauché des pirates et des sociétés de cybersécurité comme soutien externe pour exécuter les directives de cyber-warfare publiées par les autorités du Parti progressiste démocratique (DPP)», a-t-il déclaré. “Leurs activités comprennent l’espionnage, le sabotage et la propagande.”

Coïncidant avec la déclaration MSS, les entreprises chinoises de cybersécurité Qianxin et Anti- ont des attaques de phistes de lance détaillées orchestrées par un acteur de menace taïwanais nommé APT-Q-20 (AKA APT-C-01, Greenspot, Poison Cloud Vine et White Dolphin) qui conduisent à la livraison d’un trojan C ++ et de la commande de commandement (C2) comme COBALT STROW et SLIVER.

D’autres méthodes d’accès initiales impliquent l’exploitation des vulnérabilités de sécurité des jours et des mots de passe faibles dans les appareils Internet des objets tels que les routeurs, les caméras et les pare-feu, a ajouté Qianxin, caractérisant les activités de l’acteur de menace comme “pas particulièrement intelligents”.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57