Une menace persistante avanc\u00e9e chinoise connue sous le nom de Deep Panda a \u00e9t\u00e9 observ\u00e9e exploitant la vuln\u00e9rabilit\u00e9 Log4Shell dans les serveurs VMware Horizon pour d\u00e9ployer une porte d\u00e9rob\u00e9e et un nouveau rootkit sur les machines infect\u00e9es dans le but de voler des donn\u00e9es sensibles.<\/p>\n
“La nature du ciblage \u00e9tait opportuniste dans la mesure o\u00f9 de multiples infections dans plusieurs pays et divers secteurs se sont produites aux m\u00eames dates”, mentionn\u00e9<\/a> Rotem Sde-Or et Eliran Voronovitch, chercheurs chez FortiGuard Labs de Fortinet, dans un rapport publi\u00e9 cette semaine. “Les victimes appartiennent aux secteurs de la finance, de l’universit\u00e9, des cosm\u00e9tiques et du voyage.”<\/p>\n Panda profond<\/a>\u00e9galement connu sous les surnoms Shell Crew, KungFu Kittens et Bronze Firestone, serait actif depuis au moins 2010, avec des attaques r\u00e9centes “ciblant des cabinets juridiques pour l’exfiltration de donn\u00e9es et des fournisseurs de technologie pour la construction d’infrastructures de commande et de contr\u00f4le”. selon<\/a> \u00e0 Secure Works.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 CrowdStrike, qui a attribu\u00e9 le nom sur le th\u00e8me du panda au groupe depuis juillet 2014, appel\u00e9<\/a> c’est “l’un des groupes de cyber-intrusion des \u00c9tats-nations chinois les plus avanc\u00e9s”.<\/p>\n La derni\u00e8re s\u00e9rie d’attaques document\u00e9es par Fortinet montre que la proc\u00e9dure d’infection impliquait l’exploitation de la faille d’ex\u00e9cution de code \u00e0 distance Log4j (alias Log4Shell) dans les serveurs VMware Horizon vuln\u00e9rables pour engendrer une cha\u00eene d’\u00e9tapes interm\u00e9diaires, conduisant finalement au d\u00e9ploiement d’une porte d\u00e9rob\u00e9e baptis\u00e9e Milestone. (“1.dll”).<\/p>\n Bas\u00e9 sur le code source divulgu\u00e9 de l’inf\u00e2me Gh0st RAT<\/a> mais avec des diff\u00e9rences notables dans le m\u00e9canisme de communication de commande et de contr\u00f4le (C2) utilis\u00e9, Milestone est \u00e9galement con\u00e7u pour envoyer des informations sur les sessions en cours sur le syst\u00e8me au serveur distant.<\/p>\n Un rootkit du noyau appel\u00e9 “Fire Chili” a \u00e9galement \u00e9t\u00e9 d\u00e9tect\u00e9 lors des attaques. Il est sign\u00e9 num\u00e9riquement avec des certificats vol\u00e9s par des soci\u00e9t\u00e9s de d\u00e9veloppement de jeux, ce qui lui permet d’\u00e9chapper \u00e0 la d\u00e9tection par les logiciels de s\u00e9curit\u00e9 et de dissimuler les op\u00e9rations de fichiers, les processus, les ajouts de cl\u00e9s de registre et les connexions r\u00e9seau malveillants.<\/p>\n Ceci est r\u00e9alis\u00e9 au moyen de ioctl<\/a> (contr\u00f4le d’entr\u00e9e\/sortie) pour masquer la cl\u00e9 de registre du rootkit du pilote, les fichiers de la porte d\u00e9rob\u00e9e Milestone, ainsi que le fichier et le processus de chargement utilis\u00e9s pour lancer l’implant.<\/p>\n L’attribution de Fortinet \u00e0 Deep Panda d\u00e9coule de chevauchements entre Milestone et Infoadmin RAT, un cheval de Troie d’acc\u00e8s \u00e0 distance utilis\u00e9 par le collectif de piratage sophistiqu\u00e9 au d\u00e9but des ann\u00e9es 2010, avec des indices suppl\u00e9mentaires indiquant des similitudes tactiques avec celui du groupe Winnti.<\/p>\n Ceci est soutenu par l’utilisation de signatures num\u00e9riques compromises appartenant \u00e0 des soci\u00e9t\u00e9s de jeux, une cible de choix pour Winnti, ainsi qu’un domaine C2 (gnisoft[.]com), qui a \u00e9t\u00e9 pr\u00e9c\u00e9demment li\u00e9<\/a> \u00e0 l’acteur parrain\u00e9 par l’\u00c9tat chinois \u00e0 partir de mai 2020.<\/p>\n “La raison pour laquelle ces outils sont li\u00e9s \u00e0 deux groupes diff\u00e9rents n’est pas claire pour le moment”, ont d\u00e9clar\u00e9 les chercheurs. “Il est possible que les d\u00e9veloppeurs des groupes aient partag\u00e9 des ressources, telles que des certificats vol\u00e9s et une infrastructure C2, entre eux. Cela peut expliquer pourquoi les \u00e9chantillons n’ont \u00e9t\u00e9 sign\u00e9s que plusieurs heures apr\u00e8s avoir \u00e9t\u00e9 compil\u00e9s.”<\/p>\n La divulgation s’ajoute \u00e0 une longue liste de groupes de piratage qui ont militaris\u00e9 la vuln\u00e9rabilit\u00e9 Log4Shell pour frapper la plate-forme de virtualisation de VMware.<\/p>\n En d\u00e9cembre 2021, CrowdStrike a d\u00e9crit une campagne infructueuse entreprise par un adversaire surnomm\u00e9 Aquatic Panda qui a exploit\u00e9 la faille pour effectuer diverses op\u00e9rations de post-exploitation, y compris la reconnaissance et la collecte d’informations d’identification sur des syst\u00e8mes cibl\u00e9s.<\/p>\n Depuis lors, plusieurs groupes ont rejoint la m\u00eal\u00e9e, y compris le groupe iranien TunnelVision, qui a \u00e9t\u00e9 observ\u00e9 en train d’exploiter activement le d\u00e9faut de la biblioth\u00e8que de journalisation Log4j pour compromettre les serveurs VMware Horizon non corrig\u00e9s avec un ransomware.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-pirates-informatiques-iraniens-utilisent-un-nouveau-logiciel-malveillant-despionnage.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1648839244_564_Les-pirates-chinois-ciblent-les-serveurs-VMware-Horizon-avec-Log4Shell.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n