S'inscrire

Cybersécurité - 23/05/2024

Un groupe d’espionnage chinois cible les gouvernements d’Afrique et des Caraïbes

L’acteur menaçant lié à la Chine, connu sous le nom de Sharp Panda, a élargi son ciblage pour inclure les organisations gouvernementales d’Afrique et des Caraïbes dans le cadre d’une campagne de cyberespionnage en cours.

“La campagne adopte Cobalt Strike Beacon comme charge utile, permettant des fonctionnalités de porte dérobée telles que la communication C2 et l’exécution de commandes tout en minimisant l’exposition de leurs outils personnalisés”, a déclaré Check Point dans un rapport partagé avec The Hacker News. “Cette approche raffinée suggère une compréhension plus profonde de leurs cibles.”

La société israélienne de cybersécurité suit l’activité sous un nouveau nom, Sharp Dragon , décrivant l’adversaire comme étant prudent dans son ciblage, tout en élargissant ses efforts de reconnaissance.

L’adversaire est apparu pour la première fois en juin 2021, lorsqu’il a été détecté en train de cibler un gouvernement d’Asie du Sud-Est pour déployer une porte dérobée sur les systèmes Windows baptisée VictoryDLL.

Les attaques ultérieures organisées par Sharp Dragon ont visé des entités gouvernementales de premier plan en Asie du Sud-Est pour fournir le cadre de malware modulaire Soul , qui est ensuite utilisé pour recevoir des composants supplémentaires d’un serveur contrôlé par un acteur afin de faciliter la collecte d’informations.

Les preuves suggèrent que la porte dérobée Soul est en préparation depuis octobre 2017, adoptant les fonctionnalités de Gh0st RAT – un logiciel malveillant communément associé à un large éventail d’acteurs malveillants chinois – et d’autres outils accessibles au public.

Une autre série d’attaques attribuées aux acteurs de la menace a visé des responsables gouvernementaux de haut niveau des pays du G20 pas plus tard qu’en juin 2023, ce qui indique que l’attention continue portée aux organismes gouvernementaux pour la collecte d’informations.

La clé des opérations de Sharp Panda réside dans l’exploitation de failles de sécurité d’un jour (par exemple, CVE-2023-0669) pour infiltrer l’infrastructure en vue d’une utilisation ultérieure en tant que serveurs de commande et de contrôle (C2). Un autre aspect notable est l’utilisation du cadre de simulation d’adversaire légitime Cobalt Strike sur des portes dérobées personnalisées.

De plus, la dernière série d’attaques visant des gouvernements d’Afrique et des Caraïbes démontre une expansion de leurs objectifs d’attaque initiaux, le modus operandi impliquant l’utilisation de comptes de messagerie de haut niveau compromis en Asie du Sud-Est pour envoyer des e-mails de phishing afin d’infecter de nouvelles cibles dans le pays. les deux régions.

Ces messages contiennent des pièces jointes malveillantes qui exploitent l’outil d’armement Royal Road Rich Text Format (RTF) pour déposer un téléchargeur nommé 5.t chargé d’effectuer la reconnaissance et de lancer Cobalt Strike, permettant aux attaquants de recueillir des informations sur l’environnement cible.

L’utilisation de Cobalt Strike comme porte dérobée minimise non seulement l’exposition des outils personnalisés, mais suggère également une « approche raffinée de l’évaluation des cibles », a ajouté Check Point.

Cyber-espionnage chinois />

Signe que l’acteur malveillant affine continuellement ses tactiques, des séquences d’attaque récentes ont été observées utilisant des exécutables déguisés en documents pour lancer l’infection, au lieu de s’appuyer sur un document Word utilisant un modèle distant pour télécharger un fichier RTF armé avec Route royale.

“L’expansion stratégique de Sharp Dragon vers l’Afrique et les Caraïbes signifie un effort plus large de la part des cyberacteurs chinois pour renforcer leur présence et leur influence dans ces régions.”

Ces découvertes surviennent le jour même où Palo Alto Networks a découvert les détails d’une campagne baptisée Opération Diplomatic Spectre , qui cible les missions diplomatiques et les gouvernements du Moyen-Orient, d’Afrique et d’Asie depuis au moins fin 2022. Les attaques sont liées à une menace chinoise. acteur surnommé TGR-STA-0043 (anciennement CL-STA-0043).

Le déplacement des activités de Sharp Dragon vers l’Afrique s’inscrit dans le cadre d’efforts plus larges déployés par la Chine pour étendre son influence sur tout le continent.

« Ces attaques s’alignent manifestement sur le soft power et le programme technologique plus large de la Chine dans la région, en se concentrant sur des domaines critiques tels que le secteur des télécommunications, les institutions financières et les organismes gouvernementaux », avait précédemment noté Tom Hegel, chercheur en sécurité chez SentinelOne , en septembre 2023.

Ce développement fait également suite à un rapport de Mandiant, propriété de Google, qui soulignait l’utilisation par la Chine de réseaux proxy appelés réseaux de boîtes de relais opérationnels ( ORB ) pour masquer leurs origines lors de la réalisation d’opérations d’espionnage et obtenir des taux de réussite plus élevés pour obtenir et maintenir l’accès à des informations de haut niveau. réseaux de valeurs.

“La création de réseaux d’appareils compromis permet aux administrateurs de réseau ORB d’augmenter facilement la taille de leur réseau ORB avec peu d’effort et de créer un réseau maillé en constante évolution qui peut être utilisé pour dissimuler des opérations d’espionnage”, a déclaré Michael Raggi, chercheur chez Mandiant .

L’un de ces réseaux ORB3 (alias SPACEHOP) aurait été exploité par plusieurs acteurs de la menace liés au lien chinois, notamment APT5 et APT15, tandis qu’un autre réseau nommé FLORAHOX – qui comprend des appareils recrutés par l’implant de routeur FLOWERWATER – a été utilisé par APT31. .

« L’utilisation des réseaux ORB pour proxyer le trafic dans un réseau compromis n’est pas une tactique nouvelle, et elle n’est pas non plus propre aux acteurs du cyberespionnage liés à la Chine », a déclaré Raggi. “Nous avons suivi le cyberespionnage lié à la Chine en utilisant ces tactiques dans le cadre d’une évolution plus large vers des opérations plus ciblées, furtives et efficaces.”

Sujets récents