Les hackers de LuckyMouse ciblent les banques, les entreprises et les gouvernements

L’activité malveillante, collectivement appelée « EmissarySoldier », a été attribuée à un groupe appelé LuckyMouse, et se serait produite en 2020 dans le but d’obtenir des informations géopolitiques dans la région. Les attaques ont impliqué le déploiement d’une boîte à outils baptisée SysUpdate (alias Soldier) dans un certain nombre d’organisations piratées, y compris des agences gouvernementales et diplomatiques, des fournisseurs de télécommunications, une société de médias télévisés et une banque commerciale.

LuckyMouse, également appelé APT27 et Emissary Panda, est un groupe sophistiqué de cyber-espionnage qui a une histoire de violation de plusieurs réseaux gouvernementaux en Asie centrale et au Moyen-Orient. Le groupe a également été lié à des cyberattaques visant des organisations transnationales telles que l’Organisation de l’aviation civile internationale (OACI) en 2019 et a récemment attiré l’attention pour avoir exploité les failles de ProxyLogon pour compromettre le serveur de messagerie d’une entité gouvernementale au Moyen-Orient.

luckymouse

EmissarySoldier n’est que le dernier d’une série d’efforts de surveillance visant les cibles.

« Afin de compromettre les victimes, LuckyMouse utilise généralement des attaques de point d’eau, compromettant les sites Web susceptibles d’être visités par ses cibles prévues, le chercheur Matthieu Faou d’ESET a déclaré dans un rapport. » Les opérateurs de LuckyMouse effectuent également des analyses de réseau pour trouver des serveurs vulnérables accessibles sur Internet et gérés par leurs victimes.

De plus, ESET a également observé des infections de LuckyMouse sur un nombre non spécifié de systèmes accessibles sur Internet utilisant Microsoft SharePoint. Les chercheurs pensent que cela s’est produit en profitant des vulnérabilités d’exécution de code à distance dans l’application.

Quelle que soit la méthode utilisée pour prendre pied au départ, la chaîne d’attaque culmine avec le déploiement d’implants post-compromis personnalisés, SysUpdate ou HyperBro, qui tirent tous deux parti du détournement de l’ordre de recherche DLL pour charger des charges utiles malveillantes et contrecarrer la détection. « Le modèle trident dispose d’une application légitime vulnérable au détournement DLL, un DLL personnalisé qui charge la charge utile, et une charge utile binaire brute encodée avec Shikata Ga Nai, » a noté Faou.

luckymouse

Pour sa part, SysUpdate fonctionne comme un outil modulaire, chaque composant étant consacré à un objectif opérationnel particulier. Il s’agit d’abuser d’une application bénigne comme chargeur pour un DLL malveillant, qui à son tour charge la charge utile de première étape qui, en fin de compte, décode et déploie l’implant mémoire sur le système compromis. Depuis sa découverte en 2018, la boîte à outils a subi de nombreuses révisions consacrées à l’ajout de nouvelles fonctionnalités, indiquant que les opérateurs travaillent activement à la refonte de leur arsenal de logiciels malveillants.

« LuckyMouse a été de plus en plus actif tout au long de 2020, apparemment en passant par un processus de ré-outillage dans lequel diverses fonctionnalités ont été progressivement intégrés dans la boîte à outils SysUpdate », a déclaré Faou. « Cela peut être un indicateur que les pirates informatique derrière LuckyMouse sont progressivement passer de l’utilisation d’Hyperbro à SysUpdate. »

Vous pourriez aussi aimer
Laisser un commentaire