Une nouvelle porte dérobée découverte, pouvant mener à des opérations de cyberespionnage et exfiltration de données



Une nouvelle porte dérobée découverte, pouvant mener à des opérations de cyberespionnage et exfiltration de données

 Cette nouvelle cyberarme a été utilisée dans le cadre d'une campagne de cyberespionnage visant un gouvernement d'Asie du Sud-Est, mais l'opération a aujourd'hui été bloquée.

Check Point Research a annoncé jeudi qu'une porte dérobée utilisée dans des campagnes de cyberespionnage était liée à des cyberattaquants chinois.

Elle aurait été conçue, développée, testée et déployée au cours des trois dernières années afin de compromettre les systèmes du ministère des Affaires étrangères d'un gouvernement d'Asie du Sud-Est.


Tout commence par du phishing

La chaîne d'infection du malware, basé sur Windows, a commencé par des messages de spear phishing usurpant l'identité d'autres départements du même gouvernement, dans lesquels les membres du personnel étaient ciblés par des documents d'apparence officielle mais compromis, envoyés par courrier électronique.

Lorsque la victime ouvre le fichier en question, un modèle .RTF est extrait à distance, et une version de Royal Road, un malware RTF, est déployée.

L'outil fonctionne en exploitant un ensemble de vulnérabilités dans l'éditeur d'équations de Microsoft Word (CVE-2017-11882, CVE-2018-0798, et CVE-2018-0802).

La firme de cybersécurité affirme que Royal Road est « particulièrement populaire auprès des groupes APT [advanced persistent threat] chinois ».

Cyberespionnage et exfiltration de données

Le document RTF contient un shell code et une charge utile chiffrée, conçus pour créer une tâche planifiée et lancer des techniques anti-sandboxing à balayage temporel, ainsi qu'un téléchargeur pour la backdoor finale.

Baptisée "VictoryDll_x86.dll", la porte dérobée a été développée pour contenir un certain nombre de fonctions adaptées à l'espionnage et à l'exfiltration de données vers un serveur de commande et de contrôle (C2). Elle peut notamment permettre de lire, modifier et supprimer des fichiers, collecter des informations sur le système d'exploitation, les processus, les clés de registre et les services, exécuter des commandes via cmd.exe, faire des captures d'écran, créer ou mettre fin à un processus, ou encore éteindre le PC.

La porte dérobée se connecte à un C2 pour transmettre les données volées et ce serveur peut également être utilisé pour récupérer et exécuter des charges utiles supplémentaires de malwares. Les premiers C2 sont hébergés à Hong Kong et en Malaisie, tandis que le serveur C2 de la porte dérobée est hébergé par un fournisseur américain.

Cyberespionnage en direct

Check Point Research estime qu'il est probable que la porte dérobée soit l'œuvre de cyberattaquants chinois, en raison de son horaire opérationnel limité – entre 3h et 10h du matin, heure française – de l'utilisation de Royal Road, et en raison des versions de test de la porte dérobée, téléchargées sur VirusTotal en 2018, qui contenaient des contrôles de connectivité avec l'adresse web de Baidu.

« Nous avons appris que les attaquants ne s'intéressent pas seulement aux données stockées, mais aussi à ce qui se passe sur l'ordinateur personnel d'une cible en temps réel, ce qui entraîne un espionnage en direct », commente Lotem Finkelsteen, responsable de la veille sur les menaces chez Check Point Research.

« Bien que nous ayons pu bloquer l'opération de surveillance du gouvernement d'Asie du Sud-Est décrite, il est possible que les cybercriminels utilisent leur nouvelle arme de cyberespionnage sur d'autres cibles dans le monde. »

Pour plus d'information : https://www.zdnet.fr/actualites/une-nouvelle-porte-derobee-decouverte-pouvant-mener-a-des-operations-de-cyberespionnage-et-exfiltration-de-donnees-39923915.htm

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité