Un acteur de la menace lié au Vietnam identifié comme APT32 aurait mené des campagnes d’intrusion contre des entités chinoises dans le but de recueillir des renseignements sur la crise COVID-19, rapporte FireEye.

Un groupe de piratage parrainé par l’État, également connu sous le nom d’OceanLotus et APT-C-00, APT32 serait doté de ressources et déterminé, et a déjà été observé ciblant des entreprises et des organisations gouvernementales en Asie du Sud-Est.

Les attaques les plus récentes associées au groupe ont commencé par des messages de phishing lancés au ministère chinois de la Gestion des urgences et au gouvernement de la province de Wuhan, qui est considéré comme l’épicentre de la pandémie actuelle de coronavirus.

« Bien que le ciblage de l’Asie de l’Est soit cohérent avec l’activité que nous avons précédemment signalée sur APT32, cet incident et d’autres intrusions signalées publiquement font partie d’une augmentation mondiale du cyberespionnage lié à la crise, menée par des États qui cherchent désespérément des solutions et informations non publiques », souligne FireEye.

La première attaque a été observée le 6 janvier 2020, avec un e-mail envoyé au ministère chinois de la Gestion des urgences. Le message comprenait un lien de suivi contenant l’adresse e-mail du destinataire, pour informer les attaquants si l’e-mail avait été ouvert.

Des URL de suivi supplémentaires identifiées par FireEye ont révélé le ciblage du gouvernement chinois de Wuhan et d’un autre compte de messagerie associé au ministère de la Gestion des urgences.

Un domaine utilisé dans l’attaque (libjs.inquirerjs[.]com) a été employé en décembre 2019 en tant que domaine de commande et de contrôle (C&C) pour une campagne de phishing METALJACK censée viser des pays d’Asie du Sud-Est.

FireEye pense qu’APT32 a utilisé des accessoires sur le thème COVID-19 contre des cibles parlant chinois, et que ceux-ci ont été conçus pour finalement livrer un chargeur METALJACK à la machine de la victime.

Pendant le chargement de la charge utile, un document leurre COVID-19 avec le nom de fichier écrit en chinois serait affiché, montrant une copie d’un article du New York Times à la victime.

Le code shell chargé à partir d’une ressource supplémentaire contient la charge utile METALJACK. Le shellcode empreint le système de la victime pour collecter le nom et le nom d’utilisateur de l’ordinateur et les ajoute à une chaîne URL. Si vous tentez d’appeler l’URL avec succès, METALJACK sera chargé en mémoire.

«La crise du COVID-19 pose une préoccupation existentielle intense aux gouvernements, et l’air actuel de méfiance amplifie les incertitudes, encourageant la collecte de renseignements à une échelle qui rivalise avec les conflits armés. Les gouvernements nationaux, étatiques ou provinciaux et locaux, ainsi que les organisations non gouvernementales et les organisations internationales, sont visés, comme le montrent les rapports », conclut FireEye.

Connexes: les pirates liés au Vietnam utilisent des exécutables atypiques pour éviter la détection

Connexes: Google voit des millions d’emails malveillants liés à COVID-19 quotidiennement

Connexes: les pirates syriens ciblent les utilisateurs mobiles avec des leurres COVID-19

Mots clés:



Voir la source de cette publication