Un acteur mena\u00e7ant ax\u00e9 sur l’espionnage connu pour cibler la Chine, le Pakistan et l’Arabie saoudite s’est \u00e9tendu pour viser les organisations gouvernementales bangladaises dans le cadre d’une campagne en cours qui a d\u00e9but\u00e9 en ao\u00fbt 2021.<\/p>\n
La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Cisco Talos a attribu\u00e9 l’activit\u00e9 avec une confiance mod\u00e9r\u00e9e \u00e0 un groupe de piratage surnomm\u00e9 le APT amer<\/a> bas\u00e9 sur des chevauchements dans l’infrastructure de commande et de contr\u00f4le (C2) avec celle des campagnes pr\u00e9c\u00e9dentes mont\u00e9es par le m\u00eame acteur.<\/p>\n “Le Bangladesh correspond au profil que nous avons d\u00e9fini pour cet acteur mena\u00e7ant, ciblant auparavant les pays d’Asie du Sud-Est, notamment Chine<\/a>au Pakistan et en Arabie saoudite \u00bb, Vitor Ventura, chercheur principal en s\u00e9curit\u00e9 chez Cisco Talos, tvieille<\/a> Les nouvelles des pirates.<\/p>\n “Et maintenant, dans cette derni\u00e8re campagne, ils ont \u00e9largi leur port\u00e9e au Bangladesh. Tout nouveau pays d’Asie du Sud-Est cibl\u00e9 par Bitter APT ne devrait pas \u00eatre une surprise.”<\/p>\n Bitter (alias APT-C-08 ou T-APT-17) est soup\u00e7onn\u00e9 d’\u00eatre un groupe de piratage sud-asiatique motiv\u00e9 principalement par la collecte de renseignements, une op\u00e9ration facilit\u00e9e par des logiciels malveillants tels que BitterRAT, ArtraDownloader et AndroRAT. Les principales cibles comprennent les secteurs de l’\u00e9nergie, de l’ing\u00e9nierie et du gouvernement.<\/p>\n Les premi\u00e8res attaques distribuant la version mobile de BitterRAT remontent \u00e0 septembre 2014, l’acteur ayant l’habitude d’exploiter les failles du jour z\u00e9ro – CVE-2021-1732<\/a> et CVE-2021-28310 \u2014 \u00e0 son avantage et atteindre ses objectifs contradictoires.<\/p>\n La derni\u00e8re campagne, ciblant une entit\u00e9 d’\u00e9lite du gouvernement du Bangladesh, consiste \u00e0 envoyer des courriels de harponnage \u00e0 des officiers de haut rang de l’Unit\u00e9 d’action rapide du bataillon de la police du Bangladesh (RAB).<\/p>\n Comme on l’observe g\u00e9n\u00e9ralement dans d’autres attaques d’ing\u00e9nierie sociale de ce type, les missives sont con\u00e7ues pour inciter les destinataires \u00e0 ouvrir un document RTF militaris\u00e9 ou une feuille de calcul Microsoft Excel qui exploite les failles pr\u00e9c\u00e9demment connues du logiciel pour d\u00e9ployer un nouveau cheval de Troie\u00a0; surnomm\u00e9 “ZxxZ”.<\/p>\n ZxxZ, ainsi nomm\u00e9 d’apr\u00e8s un s\u00e9parateur utilis\u00e9 par le logiciel malveillant lors du renvoi d’informations au serveur C2, est un ex\u00e9cutable Windows 32 bits compil\u00e9 en Visual C++.<\/p>\n “Le cheval de Troie se fait passer pour un service de mise \u00e0 jour de s\u00e9curit\u00e9 Windows et permet au<\/p>\n acteur malveillant pour effectuer l’ex\u00e9cution de code \u00e0 distance, permettant \u00e0 l’attaquant d’effectuer toute autre activit\u00e9 en installant d’autres outils \u00bb, ont expliqu\u00e9 les chercheurs.<\/p>\n Alors que le document RTF malveillant exploite une vuln\u00e9rabilit\u00e9 de corruption de m\u00e9moire dans l’\u00e9diteur d’\u00e9quations de Microsoft Office (CVE-2017-11882), le fichier Excel abuse de deux failles d’ex\u00e9cution de code \u00e0 distance, CVE-2018-0798<\/a> et CVE-2018-0802<\/a>pour activer la s\u00e9quence d’infection.<\/p>\n “Les acteurs changent souvent leurs outils pour \u00e9viter la d\u00e9tection ou l’attribution, cela fait partie du cycle de vie d’un acteur mena\u00e7ant montrant sa capacit\u00e9 et sa d\u00e9termination”, a d\u00e9clar\u00e9 Ventura.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1652282296_331_Bitter-APT-Hackers-ajoute-le-Bangladesh-a-sa-liste-de.jpg\")
<\/div>\n