{"id":1118274,"date":"2024-01-25T20:53:37","date_gmt":"2024-01-25T22:53:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-soutenus-par-la-chine-detournent-les-mises-a-jour-logicielles-pour-implanter-nspx30-spyware\/"},"modified":"2024-01-25T20:53:42","modified_gmt":"2024-01-25T22:53:42","slug":"des-pirates-informatiques-soutenus-par-la-chine-detournent-les-mises-a-jour-logicielles-pour-implanter-nspx30-spyware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-soutenus-par-la-chine-detournent-les-mises-a-jour-logicielles-pour-implanter-nspx30-spyware\/","title":{"rendered":"Des pirates informatiques soutenus par la Chine d\u00e9tournent les mises \u00e0 jour logicielles pour implanter "NSPX30" Spyware"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Un acteur malveillant align\u00e9 sur la Chine, jusqu’alors non document\u00e9, a \u00e9t\u00e9 li\u00e9 \u00e0 un ensemble d’attaques d’adversaire au milieu (AitM) qui d\u00e9tournent les demandes de mise \u00e0 jour d’un logiciel l\u00e9gitime pour fournir un implant sophistiqu\u00e9 nomm\u00e9 NSPX30.<\/p>\n

La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET suit le groupe de menaces persistantes avanc\u00e9es (APT) sous le nom Bois noir<\/strong>. On dit qu’il est actif depuis au moins 2018.<\/p>\n

L’implant NSPX30 a \u00e9t\u00e9 observ\u00e9 d\u00e9ploy\u00e9 via les m\u00e9canismes de mise \u00e0 jour de logiciels connus tels que Tencent QQ, WPS Office et Sogou Pinyin, les attaques ciblant des soci\u00e9t\u00e9s chinoises et japonaises de fabrication, de commerce et d’ing\u00e9nierie ainsi que des individus situ\u00e9s en Chine, au Japon, et le Royaume-Uni<\/p>\n

\"Les<\/a><\/div>\n

“NSPX30 est un implant \u00e0 plusieurs \u00e9tages qui comprend plusieurs composants tels qu’un compte-gouttes, un installateur, des chargeurs, un orchestrateur et une porte d\u00e9rob\u00e9e”, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Facundo Mu\u00f1oz. dit<\/a>. “Ces deux derniers ont leurs propres ensembles de plugins.”<\/p>\n

“L’implant a \u00e9t\u00e9 con\u00e7u autour de la capacit\u00e9 des attaquants \u00e0 intercepter des paquets, permettant aux op\u00e9rateurs NSPX30 de cacher leur infrastructure.”<\/p>\n

Les origines de la porte d\u00e9rob\u00e9e, qui est \u00e9galement capable de contourner plusieurs solutions anti-malware chinoises en s’inscrivant elle-m\u00eame sur liste blanche, peuvent \u00eatre attribu\u00e9es \u00e0 un autre malware de janvier 2005, nomm\u00e9 Project Wood, con\u00e7u pour r\u00e9colter des informations sur le syst\u00e8me et le r\u00e9seau, enregistrer les frappes au clavier et prendre des photos. captures d’\u00e9cran des syst\u00e8mes victimes.<\/p>\n

\"La<\/a><\/center><\/div>\n

La base de code du projet Wood a servi de base \u00e0 plusieurs implants, y compris des variantes de reproduction comme DCM<\/a> (alias Spectre sombre<\/a>) en 2008, le logiciel malveillant \u00e9tant ensuite utilis\u00e9 dans des attaques ciblant des individus d’int\u00e9r\u00eat \u00e0 Hong Kong et dans la r\u00e9gion de la Grande Chine en 2012<\/a> et 2014<\/a>.<\/p>\n

NSPX30, la derni\u00e8re it\u00e9ration de l’implant, est fournie lorsque les tentatives de t\u00e9l\u00e9chargement de mises \u00e0 jour logicielles \u00e0 partir de serveurs l\u00e9gitimes \u00e0 l’aide du protocole HTTP (non chiffr\u00e9) entra\u00eenent une compromission du syst\u00e8me, ouvrant la voie au d\u00e9ploiement d’un fichier DLL dropper.<\/p>\n

\"Les<\/a><\/div>\n

Le compte-gouttes malveillant d\u00e9ploy\u00e9 dans le cadre du processus de mise \u00e0 jour compromis cr\u00e9e plusieurs fichiers sur le disque et ex\u00e9cute “RsStub.exe”, un binaire associ\u00e9 au logiciel Rising Antivirus, afin de lancer “comx3.dll” en profitant du fait que le premier est sensible au chargement lat\u00e9ral des DLL.<\/p>\n

“comx3.dll” fonctionne comme un chargeur pour ex\u00e9cuter un troisi\u00e8me fichier nomm\u00e9 “comx3.dll.txt”, qui est une biblioth\u00e8que d’installation charg\u00e9e d’activer la cha\u00eene d’attaque de l’\u00e9tape suivante qui aboutit \u00e0 l’ex\u00e9cution du composant orchestrateur (“WIN. cfg”).<\/p>\n

On ne sait pas actuellement comment les acteurs de la menace d\u00e9livrent le dropper sous la forme de mises \u00e0 jour malveillantes, mais les acteurs de la menace chinois comme BlackTech, Evasive Panda, Judgment Panda et Mustang Panda ont profit\u00e9 des routeurs compromis comme canal pour distribuer des logiciels malveillants dans le pass\u00e9.<\/p>\n

ESET suppose que les attaquants \u00ab d\u00e9ploient un implant r\u00e9seau dans les r\u00e9seaux des victimes, \u00e9ventuellement sur des appareils r\u00e9seau vuln\u00e9rables tels que des routeurs ou des passerelles \u00bb.<\/p>\n

“Le fait que nous n’ayons trouv\u00e9 aucune indication de redirection du trafic via DNS pourrait indiquer que lorsque l’implant r\u00e9seau hypoth\u00e9tique intercepte le trafic HTTP non crypt\u00e9 li\u00e9 aux mises \u00e0 jour, il r\u00e9pond avec le compte-gouttes de l’implant NSPX30 sous la forme d’une DLL, d’un fichier ex\u00e9cutable ou d’un ZIP. archive contenant la DLL.”<\/p>\n

\"Les<\/a><\/div>\n

L’orchestrateur cr\u00e9e ensuite deux threads, un pour obtenir la porte d\u00e9rob\u00e9e (“msfmtkl.dat”) et un autre pour charger ses plugins et ajouter des exclusions pour autoriser les DLL du chargeur afin de contourner les solutions anti-malware chinoises.<\/p>\n

La porte d\u00e9rob\u00e9e est t\u00e9l\u00e9charg\u00e9e via une requ\u00eate HTTP sur le site Web de Baidu www.baidu[.]com, un moteur de recherche chinois l\u00e9gitime, avec une cha\u00eene User-Agent inhabituelle qui masque la requ\u00eate comme provenant du navigateur Internet Explorer sous Windows 98.<\/p>\n

La r\u00e9ponse du serveur est ensuite enregistr\u00e9e dans un fichier \u00e0 partir duquel le composant de porte d\u00e9rob\u00e9e est extrait et charg\u00e9 en m\u00e9moire.<\/p>\n

\"La<\/a><\/center><\/div>\n

NSPX30, dans le cadre de sa phase d’initialisation, cr\u00e9e \u00e9galement un socket d’\u00e9coute UDP passif pour recevoir les commandes du contr\u00f4leur et exfiltrer les donn\u00e9es en interceptant probablement les paquets de requ\u00eates DNS afin d’anonymiser son infrastructure de commande et de contr\u00f4le (C2).<\/p>\n

Les instructions permettent \u00e0 la porte d\u00e9rob\u00e9e de cr\u00e9er un shell invers\u00e9, de collecter des informations sur les fichiers, de mettre fin \u00e0 des processus sp\u00e9cifiques, de capturer des captures d’\u00e9cran, d’enregistrer les frappes au clavier et m\u00eame de se d\u00e9sinstaller de la machine infect\u00e9e.<\/p>\n

Cette divulgation intervient quelques semaines apr\u00e8s que SecurityScorecard a r\u00e9v\u00e9l\u00e9 une nouvelle infrastructure connect\u00e9e \u00e0 un autre groupe de cyberespionnage li\u00e9 \u00e0 P\u00e9kin, connu sous le nom de Volt Typhoon (alias Bronze Silhouette), qui exploite un botnet cr\u00e9\u00e9 en exploitant des failles de s\u00e9curit\u00e9 connues dans les routeurs Cisco RV320\/325 en fin de vie (CVE-2019-1652<\/a> et CVE-2019-1653<\/a>) op\u00e9rant en Europe, en Am\u00e9rique du Nord et en Asie-Pacifique.<\/p>\n

“Environ 30\u00a0% d’entre eux (325\u00a0appareils sur 1\u00a0116) communiquaient avec deux adresses IP pr\u00e9c\u00e9demment nomm\u00e9es comme routeurs proxy utilis\u00e9s pour les communications de commande et de contr\u00f4le (C2), 174.138.56.[.]21 et 159.203.113[.]25, dans un d\u00e9lai de trente jours”, la soci\u00e9t\u00e9 dit<\/a>.<\/p>\n

“Volt Typhoon pourrait viser \u00e0 utiliser ces appareils compromis pour transf\u00e9rer des donn\u00e9es vol\u00e9es ou se connecter aux r\u00e9seaux des organisations cibles.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n