• Votre panier est vide.

  • COMPTE

Le nouvel outil d’espionnage USBCulprit vole des données d’ordinateurs à espace vide


Certains articles de veille peuvent faire l'objet de traduction automatique.


Un acteur chinois de la menace a développé de nouvelles capacités pour cibler les systèmes espacés dans le but d’exfiltrer des données sensibles à des fins d’espionnage, selon une étude récemment publiée par Kaspersky hier.

L’APT, connue sous le nom de Cycldek, Goblin Panda ou Conimes, utilise un vaste ensemble d’outils pour les mouvements latéraux et le vol d’informations dans les réseaux de victimes, y compris des outils, des tactiques et des procédures personnalisés auparavant non signalés lors d’attaques contre des agences gouvernementales au Vietnam, en Thaïlande et au Laos.

« L’un des outils récemment révélés est nommé USBCulprit et il a été constaté qu’elle s’appuyait sur un support USB pour exfiltrer les données des victimes « , Kaspersky m’a dit. « Cela peut suggérer que Cycldek tente d’atteindre des réseaux à vide dans des environnements victimes ou s’appuie sur une présence physique dans le même but. »

Observé pour la première fois par CrowdStrike en 2013, Cycldek a une longue histoire de sélection des secteurs de la défense, de l’énergie et du gouvernement en Asie du Sud-Est, en particulier au Vietnam, en utilisant des documents leurres qui exploitent des vulnérabilités connues (par exemple, CVE-2012-0158, CVE-2017-11882, CVE-2018 -0802) dans Microsoft Office pour supprimer un malware appelé NewCore RAT.

Exfiltration des données vers des lecteurs amovibles

L’analyse de Kaspersky de NewCore a révélé deux variantes différentes (nommées BlueCore et RedCore) centrées autour de deux groupes d’activités, avec des similitudes à la fois dans le code et dans l’infrastructure, mais contenant également des fonctionnalités exclusives à RedCore – à savoir un enregistreur de frappe et un enregistreur RDP qui capture des détails sur utilisateurs connectés à un système via RDP.

« Chaque groupe d’activités avait une orientation géographique différente », ont déclaré les chercheurs. « Les opérateurs derrière le cluster BlueCore ont investi l’essentiel de leurs efforts sur des cibles vietnamiennes avec plusieurs valeurs aberrantes au Laos et en Thaïlande, tandis que les opérateurs du cluster RedCore ont commencé par se concentrer sur le Vietnam et se sont détournés vers le Laos d’ici la fin de 2018. »

Les implants BlueCore et RedCore, à leur tour, ont téléchargé une variété d’outils supplémentaires pour faciliter les mouvements latéraux (HDoor) et extraire des informations (JsonCookies et ChromePass) des systèmes compromis.

Le principal d’entre eux est un malware appelé USBCulprit qui est capable de scanner un certain nombre de chemins, de collecter des documents avec des extensions spécifiques (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *. rtf) et les exporter vers une clé USB connectée.

De plus, le logiciel malveillant est programmé pour se copier de manière sélective sur certains lecteurs amovibles afin de pouvoir se déplacer latéralement vers d’autres systèmes à espace vide chaque fois qu’un lecteur USB infecté est inséré dans une autre machine.

Une analyse télémétrique effectuée par Kaspersky a révélé que la première instance du binaire remonte à 2014, les derniers échantillons étant enregistrés à la fin de l’année dernière.

Le mécanisme d’infection initial repose sur l’exploitation de binaires malveillants qui imitent les composants antivirus légitimes pour charger USBCulprit dans ce qu’on appelle Détournement de l’ordre de recherche de DLL avant de procéder à la collecte des informations pertinentes, enregistrez-les sous la forme d’une archive RAR chiffrée et exfiltrez les données vers un périphérique amovible connecté.

« Les caractéristiques du malware peuvent donner lieu à plusieurs hypothèses sur son objectif et ses cas d’utilisation, dont l’une est d’atteindre et d’obtenir des données à partir de machines à air », ont déclaré les chercheurs. « Cela expliquerait l’absence de toute communication réseau dans le malware et l’utilisation de supports amovibles uniquement comme moyen de transfert de données entrantes et sortantes. »

En fin de compte, les similitudes et les différences entre les deux logiciels malveillants indiquent que les acteurs derrière les clusters partagent le code et l’infrastructure, tout en fonctionnant comme deux ramifications différentes sous une seule entité plus grande.

« Cycldek est un exemple d’acteur qui a des capacités plus larges que celles perçues publiquement », a conclu Kaspersky. « Alors que les descriptions les plus connues de son activité donnent l’impression d’un groupe marginal aux capacités inférieures à la moyenne, la gamme d’outils et la durée des opérations montrent que le groupe est largement implanté dans les réseaux de cibles de premier plan en Asie du Sud-Est. »

Voir aussi :

novembre 22, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)