APT chinois effectuant des attaques par ransomware à l'aide d'outils légitimes

0


Les chercheurs en sécurité des sociétés Profero et Security Joes donnent des détails sur un APT chinois, qui se dirige vers des attaques de ransomwares . Le groupe est identifié comme APT27 également connu sous le nom d'émissaire Panda et d'autres noms. Les chercheurs ont trouvé des preuves d'APT27 à l'aide de logiciels malveillants de porte dérobée et de cryptage de fichiers.

Groupes de cyberespionnage chinois impliqués dans des ransomwares

 APT chinois effectuant des attaques par ransomware à l'aide d'outils légitimes "width =" 800 "height =" 420 "data-lazy-srcset =" https://techdator.net/wp-content/uploads/2020/02/ chinois-hackers-min.jpg 800w, https://techdator.net/wp-content/uploads/2020/02/chinese-hackers-min-300x158.jpg 300w, https://techdator.net/wp-content/ uploads / 2020/02 / chinois-hackers-min-768x403.jpg 768w "data-lazy-tailles =" (largeur max: 800px) 100vw, 800px "data-lazy-src =" https://techdator.net/ wp-content / uploads / 2020/02 / chinese-hackers-min.jpg "/> </p>
<p> <noscript> <img class= Profero et Security Joes ont découvert que l'APT chinois, repéré sous le nom de APT 27 est entré dans l'espace des ransomwares ces derniers temps.

Le groupe est également identifié par divers noms comme Emissary Panda, TG-3390, Emissary Panda, LuckyMouse, BRONZE UNION et Iron-Tiger. Il a été dit que le groupe utilise plusieurs outils destinés à chiffrer les systèmes cibles. Il s'agit notamment de services légitimes tels que les mises à jour de Google et BitLocker, le logiciel de chiffrement de lecteur de Microsoft.

Selon les attaques notées l'année dernière, l'APT 27 a ciblé au moins cinq entreprises dans l'espace du jeu en ligne dans le monde et a chiffré leurs serveurs principaux avec succès en utilisant BitLocker! Il a été signalé qu’ils y étaient parvenus en exploitant un service tiers sur le réseau de la cible, qui à son tour obtenu à partir d’un autre service tiers.

En examinant l'attaque, les chercheurs ont trouvé des échantillons de logiciels malveillants tels que DRBControl qui est le même outil décrit par Trend Micro dans une campagne antérieure qui a été attribué à APT 27 et Winnti, tous deux chinois groupes de cyberespionnage soutenus.

Dans un rapport conjoint publié récemment, Security Joes et Profero affirment avoir trouvé un échantillon de porte dérobée Clambling, utilisée pour définir des portes dérobées dans le système cible pour la reconnaissance. Ils ont également ASPXSpy web shell et PlugX RAT, où ce dernier a été mentionné à plusieurs reprises dans des campagnes liées à des groupes chinois.

Outre ces deux APT chinois, des chercheurs de Positive Technologies ont lié APT27 à une attaque survenue sur Polar en avril 2020. On dit que le groupe APT 27 utilise des moyens généraux pour approcher et infecter des cibles, comme ces logiciels malveillants PlugX et Clambling , tous deux alimentés dans la mémoire système via un ancien exécutable Google Updater, qui a un bogue de chargement latéral de DLL.

De plus, les attaquants exploitent une vulnérabilité connue auparavant, suivie comme CVE-2017-0213 pour augmenter les privilèges sur le système. Dans l'ensemble, il est fermement affirmé que les APT chinois se tournent progressivement vers des attaques à motivation financière, ce qui est inhabituel de la part des groupes de hackers soutenus par l'État-nation.

Leave A Reply

Your email address will not be published.