Home Ça parle de Cyberattaques & Technologies Le nouveau malware BendyBear APT est lié au groupe de piratage chinois

Le nouveau malware BendyBear APT est lié au groupe de piratage chinois

Sergiu Gatlan
-
0

[ad_1]

Image: Elena Loshina

Les chercheurs de l’Unité 42 ont partagé aujourd’hui des informations sur un nouveau malware polymorphe et « hautement sophistiqué » appelé BendyBear, lié à un groupe de piratage ayant des liens connus avec le gouvernement chinois.

BendyBear est également « l’un des échantillons de shellcode les plus sophistiqués, les mieux conçus et les plus difficiles à détecter employés par une menace persistante avancée (APT) », selon un rapport de l’Unité 42 publié plus tôt dans la journée.

Bien que découvert l’année dernière, en août 2020, il n’y a aucune information sur le vecteur d’infection utilisé pour le déployer sur des systèmes ciblés ou des victimes potentielles.

Le logiciel malveillant a des caractéristiques et un comportement qui ressemblent fortement à ceux de la famille de logiciels malveillants WaterBear, actifs depuis au moins début 2009.

WaterBear est connecté à BlackTech, un groupe de cyberespionnage lié par des chercheurs sur les menaces au gouvernement chinois.

Ce groupe de hackers de l’État-nation se concentre sur le vol d’informations et est également soupçonné d’avoir coordonné des attaques récentes visant plusieurs organisations gouvernementales d’Asie de l’Est.

Fonctionnalités et capacités des logiciels malveillants

La seule fonction de ce shellcode est à utiliser pour télécharger d’autres charges utiles malveillantes à partir de serveurs de commande et de contrôle (C2) contrôlés par l’attaquant.

Les cyberspies qui utilisent BendyBear dans leurs opérations le chargeront sur des appareils compromis immédiatement après avoir eu accès à la machine après l’exploitation.

« Avec plus de 10 000 octets, BendyBear est nettement plus grand que la plupart des autres, et utilise sa taille pour implémenter des fonctionnalités avancées et des techniques anti-analyse, telles que le cryptage RC4 modifié, la vérification du bloc de signature et le code polymorphe », a déclaré Unit 42.

Parmi la longue liste de fonctionnalités et de capacités de BendyBear, l’Unité 42 dit que:

  • Transmet les charges utiles en blocs modifiés cryptés RC4. Cela renforce le cryptage de la communication réseau, car une seule clé RC4 ne décryptera pas la totalité de la charge utile.
  • Tente de rester caché de l’analyse de cybersécurité par …

Voir la source de cette publication

[ad_2]

© Newspaper WordPress Theme by TagDiv