Un autre groupe de piratage chinois repéré ciblant l’Ukraine au milieu de l’invasion russe

Chinese Hacking Group Des nouvelles

Un acteur menaçant parlant chinois appelé Scarabée a été lié à une porte dérobée personnalisée appelée Astuce d’en-tête dans le cadre d’une campagne visant l’Ukraine depuis que la Russie s’est lancée dans une invasion le mois dernier, ce qui en fait le deuxième groupe de piratage basé en Chine après Mustang Panda à capitaliser sur le conflit.

« L’activité malveillante représente l’un des premiers exemples publics d’un acteur menaçant chinois ciblant l’Ukraine depuis le début de l’invasion », a déclaré le chercheur de SentinelOne, Tom Hegel. mentionné dans un rapport publié cette semaine.

L’analyse de SentinelOne fait suite à un avis de l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) plus tôt cette semaine décrivant une campagne de spear-phishing qui conduit à la livraison d’un fichier d’archive RAR, qui est livré avec un exécutable conçu pour ouvrir un fichier leurre tout en déposant furtivement une DLL malveillante appelée HeaderTip en arrière-plan.

Le scarabée était d’abord documenté par l’équipe Symantec Threat Hunter, qui fait partie de Broadcom Software, en janvier 2015, lorsqu’elle a détaillé des attaques très ciblées contre des individus russophones depuis au moins janvier 2012 pour déployer une porte dérobée appelée Scieron.

« Si les attaquants réussissent à compromettre les ordinateurs des victimes, ils utilisent une menace de porte dérobée de base appelée Trojan.Scieron pour déposer Trojan.Scieron.B sur l’ordinateur », ont noté les chercheurs de Symantec à l’époque. « Trojan.Scieron.B a un composant de type rootkit qui cache une partie de son activité réseau et offre une fonctionnalité de porte dérobée plus améliorée. »

Les connexions de HeaderTip à Scarab proviennent de logiciels malveillants et d’infrastructures qui se chevauchent avec celles de Scieron, SentinelOne qualifiant ce dernier de prédécesseur de la porte dérobée récemment découverte. Conçu comme un fichier DLL 32 bits et écrit en C++, HeaderTip a une taille de 9,7 Ko et sa fonctionnalité se limite à agir comme un package de première étape pour récupérer les modules de l’étape suivante à partir d’un serveur distant.

« Sur la base d’objectifs connus depuis 2020, y compris ceux contre l’Ukraine en mars 2022, en plus de l’utilisation d’une langue spécifique, nous évaluons avec une confiance modérée que Scarab parle chinois et opère à des fins de collecte de renseignements géopolitiques », a déclaré Hegel.

David
Rate author
Hackarizona