Dernière campagne du groupe également connu sous le nom de Lotus Blossom et Lotus Panda a ciblé les organisations d’Asie du Sud-Est avec une nouvelle variante de porte dérobée, des voleurs d’identification chromés et un programme de coquille inversé.
Le groupe chinois de cyberespionnage Billbug a remanié sa boîte à outils d’attaque avec de nouvelles charges utiles de logiciels malveillants dans une campagne à large recours ciblant plusieurs organisations en Asie du Sud-Est. Les nouveaux outils, qui comprennent des voleurs d’identification, une coquille inversée et une porte dérobée mise à jour, ont été observées dans des attaques qui ont duré d’août à février.
«Les objectifs comprenaient un ministère du gouvernement, une organisation de contrôle du trafic aérien, un opérateur de télécommunications et une entreprise de construction», a écrit des chercheurs de la division Symantec de Broadcom dans un rapport sur l’activité. «En plus de cela, le groupe a organisé une intrusion contre une agence de presse située dans un autre pays en Asie du Sud-Est et une organisation de fret aérien située dans un autre pays voisin.»
Billbug, également connu dans l’industrie de la sécurité sous le nom de Lotus Blossom, Lotus Panda, Bronze Elgin ou Spring Dragon, est un groupe de cyberespionnage avec des liens présumés avec le gouvernement chinois qui se concentre sur l’obtention d’intelligence d’autres pays asiatiques. Il fonctionne depuis au moins 2009, ciblant principalement les organisations gouvernementales et militaires.
Dans les dernières campagnes, le groupe a élargi ses attaques à d’autres secteurs, notamment la fabrication, les télécommunications et les médias. Les pays et les territoires plus fréquemment ciblés par Billbug sont les Philippines, le Vietnam, Hong Kong, Macao, l’Indonésie, la Malaisie et Taïwan.
DLL LELOADADER UNE NOUVELLE VARIANT DE BOODDOOR
Le principal outil de logiciels malveillants de Billbug est un cheval de Troie (rat) à accès à distance personnalisé connu sous le nom de Sagerunex, qu’il utilise depuis au moins 2016. Une autre porte dérobée personnalisée dans l’arsenal du groupe est connue sous le nom de Hannotog et dans le passé, il a également utilisé le programme Trensil Trojan, également connu sous le nom d’Elise.
La dernière campagne étudiée par Symantec, mais également documentée par Cisco Talos en février, présentait une nouvelle variante de Sagerunex qui a été déployée par un chargeur de logiciels malveillants qui tire parti des exécutables légitimes de Trend Micro et Bitdefender – les deux vendeurs de sécurité – pour effectuer DLL Sideloading.
DLL LEODADADING est une technique qui exploite le fait que certains binaires exécutables sont conçus pour charger des DLL (bibliothèques) avec des noms spécifiques du même répertoire de travail. En plaçant une DLL malveillante avec le bon nom avec l’exécutable vulnérable dans le même répertoire, puis en exécutant l’exécutable, le code malveillant de la DLL sera élevé en mémoire. L’avantage pour les attaquants est que les produits de sécurité Endpoint sont beaucoup moins susceptibles de déclencher des détections sur l’exécution du code effectué par des fichiers exécutables signés et légitimes, en particulier ceux appartenant à des produits de sécurité, comme c’est le cas avec les dernières attaques de Billbug.
La nouvelle variante de porte dérobée Sagerunex du groupe établit une persistance en s’inscrivant en tant que service système et en stockant son contenu dans le registre.
La tenue de touche DLL a également été observée lors des récentes attaques contre les secteurs de la santé et de la pharmaceutique via une nouvelle charge utile malveillante surnombée Resolverrat, comme l’a rapporté la société de sécurité Morphisec.
Nouveaux voleurs d’identification
Les chercheurs de Symantec ont également observé deux nouveaux programmes de voleurs d’identification surnommés Chromekatz et CredentialKatz. Les deux sont conçus pour voler des informations d’identification stockées dans Google Chrome, Chromekatz étant également capable de voler des cookies de session. Les cookies de session peuvent être placés à l’intérieur des navigateurs pour indiquer des sessions déjà authentifiées. Les attaquants peuvent les utiliser pour contourner les processus de connexion normaux et s’authentifier directement en tant qu’utilisateurs.
Une autre nouvelle charge utile déployée par BillBug dans la récente campagne a été un outil de coquille inversé capable d’écouter les connexions SSH entrantes sur le port 22. Les attaquants ont également utilisé le programme ZROK open source, qui permet aux utilisateurs d’exposer des services à Internet sur un réseau peer-to-peer sécurisé et crypté.
Un autre outil accessible au public observé par Symantec était datechanger.exeun programme qui peut modifier les horodatages des fichiers pour rendre l’analyse des incidents et les enquêtes médico-légales plus difficiles.
Le rapport Symantec contient des indicateurs de compromis sous la forme de hachages de dossiers pour tous les outils nouvellement observés, ce qui peut aider les équipes de sécurité à rechercher des compromis potentiels de billet dans leurs propres réseaux.
