La porte dérobée Nebulae utilisée pour cibler des organisations militaires

Un groupe de pirates informatique sinophone a déployé une nouvelle porte dérobée dans de multiples opérations de cyber-espionnage pendant environ deux ans et cible des organisations militaires d’Asie du Sud-Est.

Depuis au moins une décennie, le groupe de piratage connu sous le nom de Naikon a espionné activement des organisations dans des pays autour de la mer de Chine, y compris les Philippines, la Malaisie, l’Indonésie, Singapour et la Thaïlande, depuis au moins 2010.

Naikon est probablement un groupe parrainé par l’État Chinois, principalement connu pour concentrer ses efforts sur des organisations de haut niveau, y compris les entités gouvernementales et organisations militaires.

Une porte dérobée utilisée pour la sauvegarde de persistance après détection

Au cours de leurs attaques, Naikon a abusé de logiciels légitimes pour charger le malware de deuxième étape surnommé Nebulae probablement utilisé pour atteindre la persistance, selon une recherche publiée par les chercheurs en sécurité de Bitdefender Cyber Threat Intelligence Lab.

Nebulae fournit des fonctionnalités supplémentaires permettant aux attaquants de collecter des informations système, manipuler des fichiers et des dossiers, télécharger des fichiers à partir du serveur de commande et de contrôle, et exécuter, énumérer ou mettre fin aux processus sur les périphériques compromis.

Le malware est également conçu pour gagner en persistance en ajoutant une nouvelle clé de registre qui se relance automatiquement lors du redémarrage du système après la connexion.

« Les données que nous avons obtenues jusqu’à présent ne disent presque rien sur le rôle de Nebulae dans cette opération, mais la présence d’un mécanisme de persistance pourrait signifier qu’il est utilisé comme point d’accès de secours à la victime dans le cas d’un scénario négatif pour les acteurs », a déclaré Victor Vrabie, chercheur chez Bitdefender.

nebulae

Une porte dérobée de première étape utilisée comme couteau suisse

Dans la même série d’attaques, les pirates informatique du groupe Naikon ont également utilisé des logiciels malveillants de première étape connus sous le nom de RainyDay ou FoundCore utilisés pour déployer des charges utiles et des outils de deuxième étape utilisés à diverses fins, y compris la porte dérobée Nebulae.

« En utilisant la porte dérobée RainyDay, les hackers ont effectué une reconnaissance, téléchargé des outils de proxy inverse et des scanners, exécuté des outils de récupération de mot de passe, effectué des mouvements latéraux dans le réseau, atteint la persistance, tout cela pour compromettre le réseau des victimes et obtenir des informations d’intérêt », a ajouté Vrabie [PDF].

En plus de déployer des charges utiles supplémentaires sur les systèmes compromis, les attaquants peuvent également envoyer des commandes RainyDay sur TCP ou HTTP pour manipuler les services, accéder à un shell de commande, désinstaller les logiciels malveillants, prendre et collecter des captures d’écran, et manipuler ou télécharger des fichiers.

porte dérobée rainyday

Lors d’attaques observées entre Juin 2019 et Mars 2021, Naikon a propagé des charges utiles malveillantes à l’aide de vulnérabilités de chargement latéral et de détournement de DLL, ce qui a eu un impact sur:

  • Sandboxie COM Services (BITS) (SANDBOXIE L.T.D)
  • Outlook Item Finder (Microsoft Corporation)
  • VirusScan On-Demand Scan Task Properties (McAfee, Inc.)
  • Mobile Popup Application (Quick Heal Technologies (P) Ltd.)
  • ARO 2012 Tutorial

Bitdefender a attribué avec confiance cette opération au groupe de pirates informatique Naikon en se basant sur les serveurs de commande et de contrôle et des charges utiles malveillantes appartenant à la famille de logiciels malveillants Aria-Body utilisés dans les anciennes opérations du groupe.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire