Un APT sponsorisé par l’État chinois est suspecté par de récents attaquants de ransomwares

 Les analyses des chercheurs en sécurité sur les récentes attaques de logiciels malveillants contre plusieurs entreprises indiquent qu’un groupe de piratage financé par l’État chinois, APT, pourrait participer à cette opération.

Les assaillants se sont produits en 2020 sur au moins cinq entreprises. Les attaquants ont atteint les cibles via un troisième fournisseur de services, qui a été infecté par un autre fournisseur tiers, ont déclaré des chercheurs des sociétés Profero et Security Joes.

Les acteurs de la menace se sont appuyés sur BitLocker. Ils chiffrent avec succès plusieurs services de base à l’aide d’un outil de chiffrement de lecteur dans Windows. Les échantillons de logiciels malveillants liés à DRBControl, signalés par Trend Micro et attribués à APT27 et Winnti qui étaient actifs depuis 2010.

Profero et Security Joes ont soumis conjointement un rapport qui est la preuve claire que ces deux groupes utilisent une porte dérobée Clambling à celle utilisée dans la campagne DRBControl. En outre, ils ont découvert le webshell ASPXSpy, dont la version modifiée a été vue dans l’attaque attribuée à APT27.

Le rapport indique également: «En ce qui concerne les personnes à l’origine de cette chaîne d’infection spécifique, il existe des liens extrêmement forts avec APT27 / Emissary Panda, en termes de similitudes de code et de TTP [tactiques, techniques et procédures].

Les acteurs malveillants ont déployé des logiciels malveillants PlugX et Clambing dans la mémoire système à l’aide d’un ancien exécutable de mise à jour Google vulnérable au chargement côté DLL.

“Pour chacun des deux exemples, il y avait un exécutable légitime, une DLL malveillante et un fichier binaire constitué d’un shellcode chargé d’extraire la charge utile de lui-même et de l’exécuter en mémoire. Les deux exemples utilisaient le programme de mise à jour Google signé, et les deux DLL étaient nommé goopdate.dll, mais le fichier binaire PlugX s’appelait license.rtf et le fichier binaire Clambling s’appelait English.rtf. “

De plus, une vulnérabilité de 2017 (CVE-2017-0213) a été exploitée qui aurait été exploitée pour augmenter les privilèges sur le système.

L’analyste de sécurité de Security Joes a déclaré que le principal élément à retenir de ces attaques est l’implication du groupe de pirates informatiques dans une campagne à caractère financier.

 Un tel groupe malveillant est un signal que les gouvernements devraient avoir une approche unifiée dans la lutte contre ces menaces, ont déclaré des chercheurs de Profero.