Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Un groupe APT déploie des portes dérobées afin d’espionner des entreprises et une institution gouvernementale en Asie centrale

mai 2020 par Avast ESET

Avast partage une étude conjointe avec les analystes d’ESET spécialisés dans les malwares, sur une attaque APT (Advanced Persistent Threat) ayant ciblé des entreprises et des institutions en Asie centrale.

Le groupe a déployé des « backdoors » pour obtenir un accès à long terme aux réseaux des entreprises visées. En se basant sur cette analyse, Avast soupçonne que le groupe est également à l’origine d’attaques actives menées en Mongolie, en Russie et au Bélarus, et qu’il est originaire de Chine, du fait de l’utilisation du logiciel cheval de Troie « Gh0st RAT », connu pour avoir été utilisé par des groupes APT chinois par le passé ; ainsi qu’en raison des similitudes entre le code analysé par Avast à cette occasion et celui issu d’une récente campagne de cyberattaque attribuée à des acteurs chinois.

Ces portes dérobées ont permis aux cybercriminels de manipuler et de supprimer des fichiers, de faire des captures d’écran, de modifier des processus et des services, ainsi que d’exécuter des lignes de commande, pour ensuite disparaître. De plus, certaines commandes étaient capables de donner l’ordre aux « backdoors » d’exfiltrer des données vers un serveur C&C (Command & Control). Les dispositifs infectés pouvaient également être commandés par un serveur C&C afin d’agir comme proxy ou de permettre une écoute sur un port spécifique de chaque interface réseau. Le groupe a également utilisé des outils, tels que Gh0st RAT et Management Instrumentation, pour se déplacer latéralement au sein des réseaux infiltrés.

« Le groupe à l’origine de l’attaque procédait régulièrement à la recompilation de ses outils personnalisés afin d’éviter la détection par des antivirus. En plus des "backdoors", ces outils comprenaient Mimikatz et Gh0st RAT. Cela s’est traduit par un grand nombre d’échantillons, avec des binaires souvent protégés par VMProtect, rendant l’analyse plus difficile, analyse Luigino Camastra, malware researcher chez Avast. Sur la base de nos découvertes, et comme nous avons été en mesure de relier des éléments de ces attaques à des campagnes menées contre d’autres pays, nous supposons que ce groupe cible également d’autres régions ».

Avast a communiqué ses conclusions à l’équipe CERT locale et a pris contact avec la société de télécommunications concernée, qui a alors découvert qu’elle subissait une attaque.




Voir les articles précédents

    

Voir les articles suivants