Un groupe de piratage lié à la Chine utilisant des portes dérobées Windows pour poursuivre les cibles de l’industrie du jeu

Écrit par Shannon Vavra

Un acteur de l’État-nation qui a des liens avec des pirates chinois exploite deux nouvelles portes dérobées pour mener une campagne de cyber-espionnage contre les entités de jeu en Asie du Sud-Est, selon une étude de Trend Micro.

La nouvelle activité, qui se produirait également en Europe et au Moyen-Orient, a été découverte pour la première fois l’année dernière lorsque le consultant en cybersécurité Talent-Jump Technologies a trouvé un Microsoft Windows porte de derrière et a contacté Trend Micro pendant la conduite de la réponse aux incidents pour une entreprise basée aux Philippines.

Après une enquête plus approfondie, il n’a pas été immédiatement clair si le groupe lui-même, que Trend Micro a surnommé «DRBControl», est un nouveau venu, selon Trend Micro les chercheurs Daniel Lunghi, Cedric Pernet, Kenney Lu et Jamz Yaneza.

Sur la base des techniques et des logiciels malveillants de DRBControl, il existe des connexions avec des APT 27. Ce groupe de menaces est connu pour son ciblage dans les secteurs de l’aérospatiale, du gouvernement, de la défense, de la technologie et de l’énergie.

DRBControl peut également être lié à Winnti groupe, selon Analyse de Trend Micro. Winnti est connu pour ses efforts visant l’industrie du jeu.

Selon Trend Micro, le groupe tente principalement de voler le code source et les données des sociétés de jeux et paris.

«Les données exfiltrées étaient principalement composées de bases de données et de codes sources, ce qui nous porte à croire que la campagne est utilisée pour cyberespionnage ou gagner une veille concurrentielle », écrivent les chercheurs.

Chasse sous-marine et portes dérobées

Pour lancer leur campagne, les pirates ont utilisé «simple et efficace» hameçonnage des courriels en mai dernier pour inciter les victimes à cliquer sur des documents Microsoft Word malveillants. Dans un cas, DRBControl semble avoir ciblé l’équipe de support client d’une entreprise avec des e-mails suggérant que l’équipe avait fait une erreur qui devait être corrigée.

Lorsque les fichiers Word sont cliqués, ils incorporent soit un fichier exécutable soit un fichier .bat qui aident à diffuser des logiciels malveillants. Une autre version identifiée par Trend Micro utilise PowerShell, un outil d’administration, pour télécharger malware.

Les deux backdoors nouvellement identifiés, tous deux écrits en C ++, sont capables de capture d’écran; lire, écrire, déplacer, copier, renommer ou supprimer des fichiers; parcourir les répertoires; suppression des clés de registre; et exécuter des commandes.

L’un des backdoors utilise le service d’hébergement de fichiers Dropbox comme canal de commande et de contrôle. Les pirates utilisent également des référentiels Dropbox pour stocker des portes dérobées, des commandes, des outils de post-exploitation, des fichiers volés sur des cibles et des informations sur les postes de travail des cibles, selon le rapport.

DRBControl a également été tributaire de certaines familles de logiciels malveillants connus, y compris Cobalt Strike, PlugX et la porte dérobée HyperBro. Le groupe a également profité de certains outils de post-exploitation, tels qu’un voleur de presse-papiers, un tunnel de trafic réseau, un récupérateur d’adresses IP publiques, un outil de force brute et des videurs de mot de passe. Trend Micro a également constaté que DRBControl utilisait de nombreux chargeurs de code simples, probablement utilisés pour contourner les solutions de sécurité.

Liens vers des groupes de piratage chinois connus

Bien que les portes dérobées du groupe de piratage puissent être nouvelles, certaines des techniques et des logiciels malveillants que les pirates utilisent utilisent s’alignent sur ceux déjà connus. Groupes de cyberespionnage liés à la Chine.

Par exemple, l’utilisation par DRBControl de la porte dérobée HyperBro peut révéler que le groupe est lié à APT 27. HyperBro «semble être exclusif» à ce groupe, selon Trend Micro.

La connexion APT 27, quant à elle, est «très lâche», cependant, notent les chercheurs.

La connexion Winnti a trois chevauchements différents. Deux échantillons liés aux noms de domaine DRBControl sont liés à ceux précédemment utilisés par Winnti. Dans d’autres cas, les commandes émises sur des machines compromises par DRBControl ont des liens avec Winnti.

Ces chevauchements pourraient fournir des indices quant aux opérations plus larges de DRBControl – Winnti est soupçonné d’être un groupe d’attaquants qui partagent des outils et des infrastructures.

“Au fil des ans, les activités liées à Winnti ont suggéré qu’il y a probablement plus d’un groupe d’attaquants derrière le parapluie Winnti”, notent les chercheurs.

->
                        

A propos admin

Découvrez également

John Mueller de Google va enquêter sur les pratiques trompeuses de création de liens

L’analyste des tendances des webmasters de Google, John Mueller, envisage d’enquêter sur une pratique particulière …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *