L’acteur de menace lié à la Chine APT10 a été observé en train de lancer une campagne à grande échelle contre les organisations japonaises et leurs filiales.

Également appelé Cicada, Stone Panda et Cloud Hopper, APT10 est connu pour avoir lancé des campagnes d’espionnage pendant plus d’une décennie, y compris des attaques visant les fournisseurs de services gérés (MSP) et les organisations liées au Japon.

Dans le cadre de la campagne récemment observée, le groupe de piratage a utilisé une combinaison d’outils de vie hors du terrain et de logiciels malveillants personnalisés, y compris Backdoor.Hartip, qui semble être un nouvel ajout à son arsenal.

Au cours des attaques, l’adversaire a réussi à compromettre les contrôleurs de domaine et les serveurs de fichiers, et les chercheurs en sécurité ont découvert des preuves que des données avaient été exfiltrées de certains des systèmes infectés, rapporte Symantec, une division de Broadcom.

L’une des principales caractéristiques de cette attaque était l’utilisation intensive du chargement latéral de DLL, avec des incidents récents montrant l’adoption d’un exploit pour la vulnérabilité Zerologon que Microsoft a corrigé en août.

Les attaques ont probablement commencé à la mi-octobre 2019 et se sont poursuivies au moins jusqu’au début d’octobre 2020. Dans certains cas, les attaquants ont réussi à maintenir un pied dans les réseaux compromis pendant près d’un an.

Les victimes étaient principalement de grandes organisations bien connues, dont beaucoup avaient leur siège au Japon ou avaient des liens avec le Japon. Les attaques se sont principalement concentrées sur l’Asie du Sud et de l’Est, une victime étant une filiale chinoise d’une organisation japonaise, une cible atypique pour un groupe chinois parrainé par l’État.

Les secteurs ciblés comprennent l’automobile (y compris les fournisseurs de pièces pour l’industrie automobile), l’habillement, les conglomérats, l’ingénierie, l’électronique, le gouvernement, le commerce général, les produits industriels, la fabrication, les MSP, les produits pharmaceutiques et les services professionnels.

Bien que les assaillants aient passé un temps considérable dans les réseaux de certaines victimes, ils sont partis après …

Voir la source de cette publication