Un groupe de cyberespionnage align\u00e9 sur la Chine a \u00e9t\u00e9 observ\u00e9 frappant le secteur des t\u00e9l\u00e9communications en Asie centrale avec des versions de logiciels malveillants tels que ShadowPad et PlugX.<\/p>\n
La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 SentinelOne a li\u00e9 les intrusions \u00e0 un acteur qu’elle suit sous le nom de “Moshen Dragon”, avec des chevauchements tactiques entre le collectif et un autre groupe de menaces appel\u00e9 Nomad Panda (alias RedFoxtrot).<\/p>\n
“PlugX et ShadowPad ont une histoire d’utilisation bien \u00e9tablie parmi les acteurs de la menace de langue chinoise, principalement pour des activit\u00e9s d’espionnage”, a d\u00e9clar\u00e9 Joey Chen de SentinelOne. mentionn\u00e9<\/a>. “Ces outils ont des fonctionnalit\u00e9s flexibles et modulaires et sont compil\u00e9s via un shellcode pour contourner facilement les produits traditionnels de protection des terminaux.”<\/p>\n ShadowPad, qualifi\u00e9 de “chef-d’\u0153uvre de logiciels malveillants vendus par des particuliers dans l’espionnage chinois”, est devenu le successeur de PlugX en 2015, alors m\u00eame que des variantes de ce dernier ont continuellement fait leur apparition dans le cadre de diff\u00e9rentes campagnes associ\u00e9es \u00e0 des acteurs chinois de la menace.<\/p>\n Bien que connu pour \u00eatre d\u00e9ploy\u00e9 par le groupe de piratage parrain\u00e9 par le gouvernement surnomm\u00e9 Bronze Atlas (alias APT41, Barium ou Winnti) depuis au moins 2017, un nombre toujours croissant d’autres acteurs de la menace li\u00e9s \u00e0 la Chine ont rejoint la m\u00eal\u00e9e.<\/p>\n Plus t\u00f4t cette ann\u00e9e, Secureworks a attribu\u00e9 des groupes d’activit\u00e9s ShadowPad distincts \u00e0 des groupes d’\u00c9tats-nations chinois qui op\u00e8rent en alignement avec l’agence de renseignement civile du minist\u00e8re chinois de la S\u00e9curit\u00e9 d’\u00c9tat (MSS) et l’Arm\u00e9e populaire de lib\u00e9ration (APL).<\/p>\n Les derni\u00e8res d\u00e9couvertes de SentinelOne concordent avec un rapport pr\u00e9c\u00e9dent de Trellix fin mars qui a r\u00e9v\u00e9l\u00e9 une campagne d’attaque RedFoxtrot ciblant les secteurs des t\u00e9l\u00e9communications et de la d\u00e9fense en Asie du Sud avec une nouvelle variante du malware PlugX nomm\u00e9 Talisman<\/a>.<\/p>\n Les TTP de Moshen Dragon impliquent l’abus de logiciels antivirus l\u00e9gitimes appartenant \u00e0 BitDefender, Kaspersky, McAfee, Symantec et Trend Micro pour charger ShadowPad et Talisman sur des syst\u00e8mes compromis au moyen d’une technique appel\u00e9e Piratage d’ordre de recherche de DLL<\/a>.<\/p>\n Dans l’\u00e9tape suivante, la DLL pirat\u00e9e est utilis\u00e9e pour d\u00e9chiffrer et charger la charge utile ShadowPad ou PlugX finale qui r\u00e9side dans le m\u00eame dossier que celui de l’ex\u00e9cutable antivirus. La persistance est obtenue en cr\u00e9ant une t\u00e2che planifi\u00e9e ou un service.<\/p>\n Nonobstant le d\u00e9tournement de produits de s\u00e9curit\u00e9, d’autres tactiques adopt\u00e9es par le groupe incluent l’utilisation d’outils de piratage connus et de scripts d’\u00e9quipe rouge pour faciliter le vol d’informations d’identification, les mouvements lat\u00e9raux et l’exfiltration de donn\u00e9es. Le vecteur d’acc\u00e8s initial reste encore flou.<\/p>\n “Une fois que les attaquants ont pris pied dans une organisation, ils proc\u00e8dent \u00e0 un mouvement lat\u00e9ral en tirant parti d’Impacket au sein du r\u00e9seau, en pla\u00e7ant une porte d\u00e9rob\u00e9e passive dans l’environnement de la victime, en r\u00e9coltant autant d’informations d’identification que possible pour assurer un acc\u00e8s illimit\u00e9 et en se concentrant sur l’exfiltration de donn\u00e9es, “, a d\u00e9clar\u00e9 Chen.<\/p>\n <\/p>\n<\/div>\n![\"Hackers](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1651570642_118_Des-pirates-chinois-surpris-en-train-dexploiter-des-produits-antivirus.jpg\" "\\"Hackers")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n