Le premier site d'actualit? sur le Tibet

www.tibet.fr

28/09/22 | 4 h 08 min par Sunyata

CHINE : des hackers chinois ciblent les tibétains par une nouvelle porte dérobée LOWZERO

Des pirates informatiques chinois ciblent les Tibétains en utilisant la nouvelle porte dérobée LOWZERO

 Un acteur avancé de menace persistante aligné sur la Chine connu sous le nom de TA413 a militarisé les failles récemment révélées dans Sophos Firewall et Microsoft Office pour déployer une porte dérobée inédite appelée BASZÉRO dans le cadre d’une campagne d’espionnage visant des entités tibétaines.

Le groupe TA413 lié à la Chine cible les entités tibétaines avec une nouvelle porte dérobée

26 septembre 2022 Par  Pierluigi Paganini

Les exploits du groupe de cyberespionnage lié à la Chine TA413 utilisent une porte dérobée jamais détectée désignée LOWZERO dans des attaques visant des entités tibétaines.

Un groupe de cyberespionnage lié à la Chine, suivi sous le nom de TA413 (alias LuckyCat) , exploite les failles récemment révélées dans Sophos Firewall (CVE-2022-1040) et Microsoft Office ( CVE-2022-30190 ) pour infiltrer une porte dérobée jamais détectée désignée LOWZERO dans des attaques visant des entités tibétaines.

Le groupe TA413  APT est connu pour se concentrer sur les organisations tibétaines du monde entier. Dans le passé, les acteurs de la menace ont utilisé un module complémentaire Firefox malveillant, baptisé FriarFox, pour voler les données des navigateurs Gmail et Firefox et diffuser des logiciels malveillants sur les systèmes infectés.

En juin, le groupe TA413  a été observé en train d’exploiter la faille zero-day Follina  (suivi sous le nom de  CVE-2022-30190  et classé score CVSS 7,8) dans Microsoft Office lors d’attaques dans la nature.

« Au cours du premier semestre 2022, nous avons observé que TA413 exploite une vulnérabilité zero-day désormais corrigée ciblant le produit Sophos Firewall (CVE-2022-1040), militarise la vulnérabilité « Follina » (CVE-2022-30190) peu de temps après sa découverte. et la publication, et utilise une porte dérobée personnalisée nouvellement créée que nous suivons comme LOWZERO dans les campagnes ciblant les entités tibétaines. lit un rapport publié par Recorded Future. « Cette volonté d’intégrer rapidement de nouvelles techniques et méthodes d’accès initiales contraste avec l’utilisation continue par le groupe de capacités bien connues et signalées, telles que le militariseur Royal Road RTF, et les tendances souvent laxistes en matière d’approvisionnement et infrastructures.TA413 cible les entités tibétaines depuis au moins 2020, le groupe utilise plusieurs logiciels malveillants, dont ExileRAT, Sepulcher et une extension de navigateur Mozilla Firefox malveillante suivie sous le nom de FriarFox.

Les attaquants utilisent le constructeur Royal Road RTF pour créer des documents armés qui exploitent les failles ci-dessus pour fournir des logiciels malveillants LOWZERO.

Les experts ont remarqué que les acteurs de la menace réutilisaient régulièrement des adresses d’expéditeurs d’e-mails de phishing pendant plusieurs années (telles que tseringkanyaq@yahoo[.]com et mediabureauin@gmail[.]com), une circonstance qui un permis aux chercheurs de connecter plusieurs campagnes à l’activité du groupe.

chinese_state_sponsored_group_ta413

En mai 2022, les experts ont découvert une campagne de harponnage ciblant une organisation tibétaine contenant un lien vers un échantillon de Royal Road hébergé sur le service Google Firebase. Le document RTF a été conçu pour exploiter la vulnérabilité Follina afin d’exécuter une commande PowerShell et de télécharger la porte dérobée à partir d’un serveur distant.

Un document RTF malveillant a également été utilisé dans une attaque de spear-phishing identifiée en mai 2022 qui exploitait les failles de Microsoft Equation Editor pour supprimer l’implant LOWZERO personnalisé. Ceci est réalisé en utilisant un  outil de militarisation Royal Road RTF , qui est largement partagé par les acteurs chinois de la menace.

La porte dérobée LOWZERO a une structure modulaire, elle télécharge des modules spécifiques depuis le C2 si la machine compromis intéresse l’auteur de la menace.

« Le groupe continue d’intégrer de nouvelles fonctionnalités tout en s’appuyant sur des TTP éprouvés. » terminer le rapport. « Plus largement, l’adoption par TA413 des vulnérabilités zero-day et récemment publiée est révélatrice de tendances plus larges avec les groupes de cyber-espionnage chinois où les exploits apparaissent régulièrement utilisés par plusieurs groupes d’activités chinois distincts avant leur large diffusion publique . »

Suivez-moi sur Twitter : @securityaffairs et Facebook

+ Vues