Actualités

“Un nouvel élargissement du ciblage de Cicada” : extension des cyber-attaques en teneur et en cible du groupe APT !

Dans un billet sécuritaire du 5 Avril 2022, les chercheurs Broadcom Software (Symantec) font part de leurs observations concernant Cicada, des cyber-attaquants qui, selon les propos de l’éditeur, semblent élargir leur porte-feuille de victimes…

 

 

Les victimes de cette campagne Cicada (alias APT10) comprennent des organisations gouvernementales, juridiques, religieuses et non gouvernementales (ONG) dans plusieurs pays du monde, notamment en Europe, en Asie et en Amérique du Nord. Le grand nombre de secteurs et de géographies des organisations ciblées dans cette campagne est intéressant. L’activité initiale de Cicada il y a plusieurs années était fortement axée sur les entreprises liées au Japon, bien que plus récemment, elle ait été liée à des attaques contre des fournisseurs de services gérés (MSP) avec une empreinte plus mondiale. Cependant, cette campagne semble indiquer un nouvel élargissement du ciblage de Cicada […] Les victimes de cette campagne semblent être principalement des institutions ou des ONG liées au gouvernement, certaines de ces ONG travaillant dans les domaines de l’éducation et de la religion. Il y a également eu des victimes dans les secteurs des télécoms, du juridique et de la pharmacie. Les victimes sont réparties dans un grand nombre de régions, dont les États-Unis, le Canada, Hong Kong, la Turquie, Israël, l’Inde, le Monténégro et l’Italie. Il n’y a également qu’une seule victime au Japon, ce qui est remarquable en raison de la forte concentration de Cicada sur les entreprises liées au Japon“, tout en exploitant une plus grande variétés d’outils ou ressources depuis les premiers débuts (officiellement détectés), en 2009 voire, plus récemment en mi-2021, concernant ce nouvel exploit, toujours axé à des fins de cyber-espionnage, en “objectif le plus probable“.

Sous Microsoft Exchange (ce qui suggère l’exploitation d’une faille non corrigée sur le terminal ciblé…) d’après l’échantillon examiné par les chercheurs, un “loader personnalisé” est alors injecté, ainsi qu’une porte dérobée (qui serait uniquement du fait des cyber-attaquants) nommée SodaMaster. Concernant cette dernière, utilisée au moins depuis 2020, il s’agit d’un malware multi-fonctions en mode bac à sable et capable de passer sous les radars du système, avec un obscurcissement et un chiffrement du trafic par requête-serveur command-and-control. Elle permet les actions suivantes :

 

  • Recherche d’une clé-registre,
  • Retard d’exécution,
  • Collecte de l’hôte-système, du nom-utilisateur et de l’OS,
  • Recherche des processus actifs,
  • Téléchargement et exécution de charges supplémentaires.

 

En plus du loader personnalisé, un Mimikatz modifié est exploité : il supprime mimilib.dll pour collecter les informations d’authentification (en brut) des utilisateurs actifs sur le terminal (dès lors que ceux-ci saisissent sur le terminal leurs identifiants…) tout en asseyant en arrière-plan la persistance de la viralité, en cas de re-démarrage du système. VLC Media, le lecteur multimédia, peut également être compromis en étant détourné de la sorte via VLC Exports et par l’exploitation de WinVNC pour assurer un contrôle distant du terminal infecté. Les logiciels d’archivage (pour RAR, précisément), WMIExec (ligne de commandes Microsoft – exécution de commandes distantes), NBTScan (Open Source – reconnaissance du réseau) ou encore la reconnaissance du système-réseau (points de connexion des services et systèmes, par rapport à la machine infectée originellement) sont aussi utilisés par Cicada”… A veiller !

 

 

 

 

Source : blog Broadcom Software (Symantec) – 5 Avril 2022 – APT Cicada : nouvelle méthodologie + élargissement des cibles-victimes + indicateurs de compromission.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6