mardi, 20 mars 2018 11:32

Un Groupe de cyber espionnage chinois s’attaque à des entreprises américaines

FireEye annonce que ses équipes d’analystes de FireEye as a Service (FaaS), de Mandiant Consulting et de ISIGHT Intelligence ont identifié depuis le début 2018 une nouvelle vague d’intrusions, toujours en cours, ciblant des organisations dans les secteurs de l’ingénierie et du maritime, pour la plupart liées aux événements en cours au sud de la Mer de Chine. Cette campagne d’attaques est liée à un groupe d’acteurs de cyber espionnage présumés d’origine chinoise identifié et suivi depuis 2013, connu sous le nom de TEMP.Periscope. Ce groupe a également été baptisé « Leviathan » par d’autres firmes de sécurité.

La campagne en cours est une nette escalade d’une activité détectée depuis l’été 2017. Comme de nombreux acteurs de cyber espionnage chinois, TEMP.Periscope est récemment réapparu et a été observé conduisant des opérations avec une nouvelle boîte à outils. Les cibles connues de ce groupe sont liées à l’industrie maritime ainsi qu’à des activités d’ingénierie, et comprennent des instituts de recherche, des organisations universitaires et des entreprises privées aux Etats Unis.


Historique de TEMP.Periscope

Actif depuis au moins 2013, TEMP.Periscope s’est concentré en premier lieu sur des cibles liées au domaine maritime dans de nombreux secteurs verticaux dont l’ingénierie, le transport, l’industrie manufacturière, la défense, les administrations gouvernementales et la recherche universitaire. Toutefois, le groupe a également ciblé des sociétés de consulting, l’industrie high tech, le secteur de la santé et des médias. Les victimes identifiées étaient basées surtout aux Etats Unis, même si des organisations en Europe et au moins une à Hong Kong ont également été affectées. TEMP.Periscope adopte les mêmes cibles, les mêmes tactiques, techniques et procédures (TTPs) que le groupe TEMP.Jumper.


TTPs et malwares utilisés

Lors de son récent pic d’activité, TEMP.Periscope a exploité une variété relativement large de malwares, partagés avec de multiples autres groupes présumés chinois. Ces malwares comprennent notamment :

- AIRBREAK : un ‘backdoor’ basé sur JavaScript également appelé « Orz » qui récupère des commandes à partir de chaînes cachées dans des pages web compromises et de profils malveillants sur des services légitimes.

- BADFLICK : un ‘backdoor’ capable de modifier le système de fichiers, générant un ‘shell’ inverse, et modifiant sa configuration de commande et de contrôle (C2).

- PHOTO : un DLL ‘backdoor’ également appelé « Derusbi », capable d’obtenir la liste des répertoires, des fichiers et des unités de stockage ; de créer un ‘shell’ inverse ; de réaliser des captures d’écran ; d’enregistrer de la vidéo et de l’audio ; de lister, terminer et créer des traitements ; d’énumérer, de démarrer et d’effacer des clés et des valeurs de registre ; de saisir des touches de clavier, de retourner des noms d’utilisateur et des mots de passe à partir d’un stockage protégé ; et de renommer, effacer, copier, déplacer, lire et écrire dans des fichiers.

- HOMEFRY : un ‘craqueur’ de mots de passe Windows 64 bit déjà utilisé précédemment en conjonction avec les ‘backdoors’ AIRBREAK et BADFLICK. Quelques chaînes sont masquées avec XOR x56. Le malware accepte jusqu’à deux arguments sur la ligne de commande : le premier pour afficher les identifiants en clair pour chaque session de connexion, et le second pour afficher les identifiants en clair, les ‘hashes’ NTLM et la version du malware pour chaque session de connexion.

- LUNCHMONEY : un outil de téléchargement qui peut exfiltrer des fichiers vers Dropbox.

La vague actuelle d’intrusions identifiées est cohérente avec l’activité de TEMP.Periscope et reflète probablement un effort concerté visant à cibler des secteurs en vue d’obtenir des informations capables de fournir un avantage concurrentiel, des données de recherche et développement, des propriétés intellectuelles, ou un avantage dans des négociations commerciales.

www.fireeye.com

Version AMP de l'article

Dernière modification le mardi, 20 mars 2018 11:38

Laissez un commentaire

Assurez-vous d'indiquer les informations obligatoires (*).
Le code HTML n'est pas autorisé.