Au moins deux instituts de recherche situ\u00e9s en Russie et une troisi\u00e8me cible probable en Bi\u00e9lorussie ont \u00e9t\u00e9 la cible d’une attaque d’espionnage par une menace persistante avanc\u00e9e (APT) d’un \u00c9tat-nation chinois.<\/p>\n
Les attentats, nom de code “Panda tordu<\/strong>” interviennent dans le contexte de l’invasion militaire de l’Ukraine par la Russie, incitant un large \u00e9ventail d’acteurs de la menace \u00e0 adapter rapidement leurs campagnes sur le conflit en cours pour diffuser des logiciels malveillants et organiser des attaques opportunistes.<\/p>\n Ils se sont mat\u00e9rialis\u00e9s sous la forme de sch\u00e9mas d’ing\u00e9nierie sociale avec des app\u00e2ts d’actualit\u00e9 sur le th\u00e8me de la guerre et des sanctions orchestr\u00e9s pour inciter les victimes potentielles \u00e0 cliquer sur des liens malveillants ou \u00e0 ouvrir des documents militaris\u00e9s.<\/p>\n La soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 Check Point, qui divulgu\u00e9<\/a> les d\u00e9tails de la derni\u00e8re op\u00e9ration de collecte de renseignements, lui ont attribu\u00e9 un acteur mena\u00e7ant chinois, avec des liens avec ceux de Stone Panda (alias APT 10, Cicada ou Potassium) et Mustang Panda (alias Bronze President, HoneyMyte ou RedDelta).<\/p>\n Appelant cela la continuation d'”une op\u00e9ration d’espionnage de longue date contre des entit\u00e9s li\u00e9es \u00e0 la Russie qui est en cours depuis au moins juin 2021″, les traces les plus r\u00e9centes de l’activit\u00e9 auraient \u00e9t\u00e9 observ\u00e9es aussi r\u00e9cemment qu’en avril 2022.<\/p>\n Les cibles comprenaient deux instituts de recherche sur la d\u00e9fense appartenant au conglom\u00e9rat de d\u00e9fense public russe Rostec Corporation et une entit\u00e9 inconnue situ\u00e9e dans la ville bi\u00e9lorusse de Minsk.<\/p>\n Les attaques de phishing ont commenc\u00e9 avec des e-mails contenant un lien se faisant passer pour le minist\u00e8re de la Sant\u00e9 de la Russie, mais en r\u00e9alit\u00e9, il s’agit d’un domaine contr\u00f4l\u00e9 par l’attaquant, ainsi que d’un document Microsoft Word leurre con\u00e7u pour d\u00e9clencher l’infection et d\u00e9poser un chargeur.<\/p>\n La DLL 32 bits (“cmpbk32.dll”), en plus d’\u00e9tablir la persistance au moyen d’une t\u00e2che planifi\u00e9e, est \u00e9galement responsable de l’ex\u00e9cution d’un chargeur multicouche de deuxi\u00e8me \u00e9tape, qui est ensuite d\u00e9compress\u00e9 pour ex\u00e9cuter la charge utile finale en m\u00e9moire.<\/p>\n La charge utile inject\u00e9e, une porte d\u00e9rob\u00e9e auparavant non document\u00e9e nomm\u00e9e Spinner, utilise des techniques sophistiqu\u00e9es telles que contr\u00f4le de l’aplatissement du flux<\/a> pour dissimuler le d\u00e9roulement du programme, pr\u00e9alablement identifi\u00e9 comme mis \u00e0 profit par les deux Panda de pierre<\/a> et Mustang Panda dans leurs attaques.<\/p>\n “Ces outils sont en d\u00e9veloppement depuis au moins mars 2021 et utilisent des techniques avanc\u00e9es d’\u00e9vasion et d’anti-analyse telles que les chargeurs multicouches en m\u00e9moire et les obfuscations au niveau du compilateur”, a d\u00e9clar\u00e9 Check Point.<\/p>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1653288784_821_Chinois-quotPanda-torduquot-Des-pirates-informatiques-surpris-en-train-despionner.jpg\")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n