Le groupe de cyberespionnage APT27, lié à la Chine, aurait orchestré de récentes attaques de ransomwares, dont une où un outil Windows légitime a été utilisé pour crypter les fichiers de la victime.

Actif depuis au moins 2010 et suivi par différentes sociétés de sécurité comme Emissary Panda, TG-3390, Iron Tiger, Bronze Union et Lucky Mouse, APT27 est connu pour ses campagnes de cyberespionnage ciblant des centaines d’organisations à travers le monde.

En plus des organisations gouvernementales, le groupe a également été observé ciblant des entrepreneurs américains de la défense, un fabricant européen de drones, des sociétés de services financiers et un centre de données national en Asie centrale, entre autres.

Plus récemment, cependant, les cyberespions semblent s’être tournés vers des attaques à motivation financière. Dans l’un de ces incidents, l’outil Windows BitLocker a été utilisé pour chiffrer les serveurs principaux d’une organisation compromise.

L’attaque, explique la société de services de cybersécurité Profero dans un rapport détaillé, présentait des similitudes de code et de TTP avec la campagne DRBControl que Trend Micro a liée au début de 2020 aux groupes APT chinois APT27 et Winnti.

Ciblant les opérations de jeu et de paris en Asie du Sud-Est, DRBControl s’est démarqué par l’utilisation de portes dérobées spécifiques, aux côtés de logiciels malveillants tels que PlugX RAT, Trochilus RAT, HyperBro backdoor et l’implant Cobalt Strike.

Au cours de leur enquête sur l’attaque du ransomware, les chercheurs de Security Joes et Profero ont identifié une porte dérobée qu’ils ont liée à DRBControl, ainsi qu’un webshell ASPXSpy, un échantillon PlugX et Mimikatz.

«Pour ce qui est de savoir qui est derrière cette chaîne d’infection spécifique, il existe des liens extrêmement forts avec APT27 / Emissary Panda, en termes de similitudes de code et de TTP», disent les chercheurs en sécurité.

La victime a été infectée par un fournisseur de services tiers qui a également été compromis par un autre fournisseur de services tiers. L’utilisation de BitLocker était également inhabituelle pour une attaque de ransomware, …

Voir la source de cette publication