Un institut de recherche affilié au gouvernement taïwanais et spécialisé dans l’informatique et les technologies associées a été piraté par des acteurs de la menace étatique ayant des liens avec la Chine, selon de nouvelles découvertes de Cisco Talos.
L’organisation anonyme a été ciblée dès la mi-juillet 2023 pour fournir une variété de portes dérobées et d’outils post-compromission comme ShadowPad et Cobalt Strike. Elle a été attribuée avec une confiance moyenne à un groupe de hackers prolifique suivi sous le nom d’APT41.
« Le malware ShadowPad utilisé dans la campagne actuelle a exploité une version vulnérable obsolète du binaire Microsoft Office IME comme chargeur pour charger le chargeur de deuxième étape personnalisé pour lancer la charge utile », ont déclaré les chercheurs en sécurité Joey Chen, Ashley Shen et Vitor Ventura. dit.
« L’acteur malveillant a compromis trois hôtes dans l’environnement ciblé et a pu exfiltrer certains documents du réseau. »
Cisco Talos a déclaré avoir découvert l’activité en août 2023 après avoir détecté ce qu’il a décrit comme des « commandes PowerShell anormales » qui se connectaient à une adresse IP pour télécharger et exécuter des scripts PowerShell dans l’environnement compromis.
Le vecteur d’accès initial exact utilisé dans l’attaque n’est pas connu, bien qu’il impliquait l’utilisation d’un shell Web pour maintenir un accès persistant et larguer des charges utiles supplémentaires comme ShadowPad et Cobalt Strike, ce dernier étant livré au moyen d’un chargeur Cobalt Strike basé sur Go nommé CS-Éviter-de-tuer.
« Le malware Cobalt Strike a été développé à l’aide d’un chargeur anti-AV pour contourner la détection AV et éviter la quarantaine des produits de sécurité », ont déclaré les chercheurs.
Alternativement, l’acteur de la menace a été observé en train d’exécuter des commandes PowerShell pour lancer des scripts responsables de l’exécution de ShadowPad en mémoire et de la récupération du malware Cobalt Strike à partir d’un serveur de commande et de contrôle (C2) compromis. Le chargeur ShadowPad basé sur DLL, également appelé ScatterBeeest exécuté via le chargement latéral de DLL.
Certaines des autres étapes réalisées dans le cadre de l’intrusion comprenaient l’utilisation de Mimikatz pour extraire des mots de passe et l’exécution de plusieurs commandes pour recueillir des informations sur les comptes d’utilisateurs, la structure du répertoire et les configurations du réseau.
« APT41 a créé un chargeur sur mesure pour injecter une preuve de concept pour CVE-2018-0824 « directement dans la mémoire, en utilisant une vulnérabilité d’exécution de code à distance pour obtenir une escalade de privilèges locale », a déclaré Talos, notant la charge utile finale, DémarshalPwnest déclenché après avoir traversé trois étapes différentes.
L’équipe de cybersécurité a également souligné les tentatives de l’adversaire d’éviter d’être détecté en interrompant sa propre activité lorsqu’il détecte d’autres utilisateurs sur le système. « Une fois les portes dérobées déployées, l’acteur malveillant supprimera le shell Web et le compte invité qui ont permis l’accès initial », ont déclaré les chercheurs.
Cette révélation intervient alors que l’Allemagne révélé plus tôt cette semaine, des acteurs étatiques chinois étaient derrière une cyberattaque en 2021 contre l’agence nationale de cartographie du pays, l’Office fédéral de cartographie et de géodésie (BKG), à des fins d’espionnage.
En réponse aux allégations, l’ambassade de Chine à Berlin dit L’accusation est sans fondement et appelle l’Allemagne à « cesser de se servir des questions de cybersécurité pour salir la Chine politiquement et dans les médias ».