Une nouvelle porte dérobée découverte, pouvant mener à des opérations de cyberespionnage et exfiltration de données

Spread the love

Une nouvelle porte dérobée découverte, pouvant mener à des opérations de cyberespionnage et exfiltration de données

Check Point Research a annoncé jeudi qu’une porte dérobée utilisée dans des campagnes de cyberespionnage était liée à des cyberattaquants chinois.

Elle aurait été conçue, développée, testée et déployée au cours des trois dernières années afin de compromettre les systèmes du ministère des Affaires étrangères d’un gouvernement d’Asie du Sud-Est.

publicité

Tout commence par du phishing

La chaîne d’infection du malware, basé sur Windows, a commencé par des messages de spear phishing usurpant l’identité d’autres départements du même gouvernement, dans lesquels les membres du personnel étaient ciblés par des documents d’apparence officielle mais compromis, envoyés par courrier électronique.

screenshot-2021-06-02-at-07-07-29.png

Lorsque la victime ouvre le fichier en question, un modèle .RTF est extrait à distance, et une version de Royal Road, un malware RTF, est déployée.

L’outil fonctionne en exploitant un ensemble de vulnérabilités dans l’éditeur d’équations de Microsoft Word (CVE-2017-11882, CVE-2018-0798, et CVE-2018-0802).

La firme de cybersécurité affirme que Royal Road est « particulièrement populaire auprès des groupes APT [advanced persistent threat] chinois ».

Cyberespionnage et exfiltration de données

Le document RTF contient un shell code et une charge utile chiffrée, conçus pour créer une tâche planifiée et lancer des techniques anti-sandboxing à balayage temporel, ainsi qu’un téléchargeur pour la backdoor finale.

Baptisée “VictoryDll_x86.dll”, la porte dérobée a été développée pour contenir un certain nombre de fonctions adaptées à l’espionnage et à l’exfiltration de données vers un serveur de commande et de contrôle (C2). Elle peut notamment permettre de lire, modifier et supprimer des fichiers, collecter des informations sur le système d’exploitation, les processus, les clés de registre et les services, exécuter des commandes via cmd.exe, faire des captures d’écran, créer ou mettre fin à un processus, ou encore éteindre le PC.

La porte dérobée se connecte à un C2 pour transmettre les données volées et ce serveur peut également être utilisé pour récupérer et exécuter des charges utiles supplémentaires de malwares. Les premiers C2 sont hébergés à Hong Kong et en Malaisie, tandis que le serveur C2 de la porte dérobée est hébergé par un fournisseur américain.

Cyberespionnage en direct

Check Point Research estime qu’il est probable que la porte dérobée soit l’œuvre de cyberattaquants chinois, en raison de son horaire opérationnel limité – entre 3h et 10h du matin, heure française – de l’utilisation de Royal Road, et en raison des versions de test de la porte dérobée, téléchargées sur VirusTotal en 2018, qui contenaient des contrôles de connectivité avec l’adresse web de Baidu.

« Nous avons appris que les attaquants ne s’intéressent pas seulement aux données stockées, mais aussi à ce qui se passe sur l’ordinateur personnel d’une cible en temps réel, ce qui entraîne un espionnage en direct », commente Lotem Finkelsteen, responsable de la veille sur les menaces chez Check Point Research.

« Bien que nous ayons pu bloquer l’opération de surveillance du gouvernement d’Asie du Sud-Est décrite, il est possible que les cybercriminels utilisent leur nouvelle arme de cyberespionnage sur d’autres cibles dans le monde. »

Source : ZDNet.com

Leave a Reply