Sharp Panda utilise une nouvelle version de Soul Framework pour cibler les gouvernements d’Asie du Sud-Est


08 mars 2023Ravie LakshmananMenace persistante avancée

Des entités gouvernementales de premier plan en Asie du Sud-Est sont la cible d’une campagne de cyberespionnage menée par un acteur menaçant chinois connu sous le nom de Sharp Panda depuis la fin de l’année dernière.

Les intrusions se caractérisent par l’utilisation d’une nouvelle version du framework modulaire Soul, marquant une rupture avec les chaînes d’attaque du groupe observées en 2021.

La société israélienne de cybersécurité Check Point a dit les activités « de longue durée » ont historiquement distingué des pays comme le Vietnam, la Thaïlande et l’Indonésie. Sharp Panda a été documenté pour la première fois par la société en juin 2021, le décrivant comme une « opération hautement organisée qui a déployé des efforts considérables pour rester sous le radar ».

Fait intéressant, l’utilisation de la porte dérobée Soul était détaillé par Symantec de Broadcom en octobre 2021 dans le cadre d’une opération d’espionnage non attribuée ciblant les secteurs de la défense, de la santé et des TIC en Asie du Sud-Est.

Les origines de l’implant, selon recherche publié par Fortinet FortiGuard Labs en février 2022, remonte à octobre 2017, avec le code malveillant réaffectant le code de Gh0st RAT et d’autres outils accessibles au public.

La chaîne d’attaque détaillée par Check Point commence par un e-mail de harponnage contenant un document leurre qui exploite le route royale Un arsenal RTF (Rich Text Format) pour supprimer un téléchargeur en exploitant l’une des nombreuses vulnérabilités de Microsoft Equation Editor.

Cadre Soul Hacker

Le téléchargeur, à son tour, est conçu pour récupérer un chargeur connu sous le nom de SoulSearcher à partir d’un serveur de commande et de contrôle (C&C) géolocalisé qui ne répond qu’aux requêtes provenant d’adresses IP correspondant aux pays ciblés.

Le chargeur est alors responsable du téléchargement, du décryptage et de l’exécution de la porte dérobée Soul et de ses autres composants, permettant ainsi à l’adversaire de récolter un large éventail d’informations.

« Le module principal Soul est responsable de la communication avec le serveur C&C et son objectif principal est de recevoir et de charger en mémoire des modules supplémentaires », a déclaré Check Point.

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.

RÉSERVEZ VOTRE PLACE

« Il est intéressant de noter que la configuration de la porte dérobée contient une fonction de type » silence radio « , où les acteurs peuvent spécifier des heures spécifiques dans une semaine lorsque la porte dérobée n’est pas autorisée à communiquer avec le serveur C&C. »

Les résultats sont une autre indication du partage d’outils qui prévaut parmi les groupes chinois de menaces persistantes avancées (APT) pour faciliter la collecte de renseignements.

« Alors que le framework Soul est utilisé depuis au moins 2017, les acteurs de la menace derrière lui ont constamment mis à jour et affiné son architecture et ses capacités », a déclaré la société.

Il a en outre noté que la campagne est probablement « organisée par des acteurs avancés de la menace soutenus par la Chine, dont les autres outils, capacités et position au sein du réseau plus large d’activités d’espionnage doivent encore être explorés ».

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57