Des experts de la société américaine de cybersécurité Mandiant ont intercepté des attaques de nouvelles générations. Les cybercriminels semblent viser essentiellement des terminaux basés dans des pays spécifiques.
Le cluster, connu sous l’appellation UNC4191, s’appuie sur les supports USB pour induire des charges utiles sur les systèmes ciblés. Sur la base des données collectées, les experts ont déduit que les attaques proviendraient de Chine.
Dans cet article :
Un espionnage à dessein politique ?
Une fois que les malwares ont été installés sur le système hôte, un chêne de processus est déclenché et des mécanismes de propagations sont amorcés. Les virus s’attaquent aux ports USB des périphériques infectés pour propager les logiciels malveillants. Les données provenant de l’enquête indiquent qu’il pourrait s’agir d’un espionnage à buts purement politiques. D’après les membres de Mandiant, la campagne d’UNC4191 remonte à l’an dernier.
Les recherches ont été dirigées par Tommy Dacanay, analyste principal en sécurité et détection de menaces chez Google Cloud, a été l’un des auteurs de la prése’nte recherche.
Une stratégie basée sur l’infection des lecteurs USB
Les cybercriminels se sont basés sur trois nouvelles familles de logiciels malveillants baptisées MISTCLOAK, DARKDEW, BLUEHAZE et Ncat. Le dernier est un utilitaire de réseau en ligne de commande dont le rôle est d’ouvrir un shell inverse sur le système cible.
MISTCLOAK, le programme d’infection initial, est activé lorsqu’un utilisateur connecte un périphérique amovible compromis à un système. Ce logiciel prépare le terrain pour le malware crypté nommé DARKDEW. Ce dernier sert à infecter les lecteurs amovibles, proliférant efficacement les infections. Celui-ci lance également un autre exécutable (« DateCheck.exe »).
En fait, il s’agit de la version renommée d’une application légitime connue sous le nom Razer Chromium Render Process qui mène au malware BLUEHAZE. Celui-ci est un lanceur codé avec les langages C/C++ qui fait évoluer le processus d’infection en initiant une copie de Ncat pour créer un shell inverse.
« Le malware s’autoréplique en s’attaquant aux lecteurs amovibles qui sont branchés sur un système infecté. Ce mécanisme favorise la propagation des charges utiles malveillantes dans des systèmes supplémentaires. »
Les chercheurs de Mandiant
UNC4191 s’attaque aux entités d’Asie jusqu’aux États-Unis
D’après les membres de Mandiant, des preuves indexant des acteurs chinois ont été mises au jour. Les études de décryptage révèlent également que les entités exposées aux attaques sont des secteurs publics et privés localisés en Asie du Sud-Est et aux États-Unis.
D’ailleurs, les chercheurs ont déduit que la campagne UNC4191 remonte potentiellement à septembre 2021. D’autres informations ont révélé que les espionnages ont également sévi aux Philippines.
« Cette activité met en valeur les opérations chinoises visant des entités publiques et privées pour des intérêts politiques et commerciaux de la Chine. »
Les chercheurs de Mandiant
BuzzWebzine est un média indépendant. Soutiens-nous en nous ajoutant à tes favoris sur Google Actualités :