Home » International » Des pirates informatiques liés à la Chine infiltrent une entreprise d’Asie de l’Est pendant 3 ans à l’aide d’appareils F5
2024-06-18 01:13:27
17 juin 2024NewsroomCyber-espionnage / Vulnérabilité
Un acteur présumé de cyberespionnage lié à la Chine a été attribué à une attaque prolongée contre une organisation anonyme située en Asie de l’Est pendant une période d’environ trois ans, l’adversaire ayant établi sa persistance en utilisant les anciens appareils F5 BIG-IP et en les utilisant comme système interne. commandement et contrôle (C&C) à des fins d’évasion de la défense.
La société de cybersécurité Sygnia, qui a répondu à l’intrusion fin 2023, suit l’activité sous le nom Fourmi de veloursle caractérisant comme possédant de solides capacités pour pivoter rapidement et adapter ses tactiques aux efforts de contre-remédiation.
“Velvet Ant est un acteur menaçant sophistiqué et innovant”, affirme la société israélienne dit dans un rapport technique partagé avec The Hacker News. “Ils ont collecté des informations sensibles sur une longue période, en se concentrant sur les informations client et financières.”
Les chaînes d’attaque impliquent l’utilisation d’une porte dérobée connue appelée PlugX (alias Korplug), un cheval de Troie modulaire d’accès à distance (RAT) qui a été largement utilisé par opérateurs d’espionnage avec des liens avec les intérêts chinois. PlugX est connu pour s’appuyer fortement sur une technique appelée Chargement latéral des DLL pour infiltrer les appareils.
Sygnia a déclaré avoir également identifié des tentatives de la part de l’acteur malveillant visant à désactiver le logiciel de sécurité des points finaux avant d’installer PlugX, avec des outils open source comme Impacket utilisés pour le mouvement latéral.
Une variante retravaillée de PlugX qui utilisait un serveur de fichiers interne pour le C&C a également été identifiée dans le cadre des efforts de réponse aux incidents et de remédiation, permettant ainsi au trafic malveillant de se fondre dans l’activité réseau légitime.
“Cela signifie que l’acteur malveillant a déployé deux versions de PlugX au sein du réseau”, a noté la société. “La première version, configurée avec un serveur C&C externe, a été installée sur des points finaux avec accès direct à Internet, facilitant l’exfiltration d’informations sensibles. La deuxième version n’avait pas de configuration C&C et a été déployée exclusivement sur des serveurs existants.”
En particulier, il a été constaté que la deuxième variante avait abusé des appareils F5 BIG-IP obsolètes comme canal secret pour communiquer avec le serveur C&C externe en émettant des commandes via un tunnel SSH inversé, soulignant une fois de plus à quel point les appareils Edge compromettants peuvent permettre les acteurs menaçants de gagner en persistance pendant de longues périodes.
“Il suffit d’une seule chose pour qu’un incident d’exploitation massive se produise : un service Edge vulnérable, c’est-à-dire un logiciel accessible depuis Internet”, explique WithSecure. dit dans une analyse récente.
« Des appareils comme ceux-ci sont souvent destinés à rendre un réseau plus sécurisé, mais à maintes reprises, des vulnérabilités ont été découvertes dans ces appareils et exploitées par des attaquants, offrant ainsi une parfaite implantation dans un réseau cible. »
Une analyse médico-légale ultérieure des appareils F5 piratés a également révélé la présence d’un outil nommé PMCD qui interroge le serveur C&C de l’acteur malveillant toutes les 60 minutes pour rechercher des commandes à exécuter, ainsi que des programmes supplémentaires pour capturer les paquets réseau et un utilitaire de tunneling SOCKS baptisé EarthWorm. qui a été utilisé par des acteurs comme Gelsemium et Lucky Mouse.
Le vecteur d’accès initial exact – qu’il s’agisse de spear phishing ou d’exploitation de failles de sécurité connues dans les systèmes exposés à Internet – utilisé pour violer l’environnement cible n’est actuellement pas connu.
Ce développement fait suite à l’émergence de nouveaux clusters liés à la Chine, suivis comme Unfading Sea Haze, Operation Diplomatic Specter et Operation Crimson Palace, qui ont été observés ciblant l’Asie dans le but de collecter des informations sensibles.
Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.
Des pirates informatiques liés à la Chine infiltrent une entreprise d’Asie de l’Est pendant 3 ans à l’aide d’appareils F5
Home » International » Des pirates informatiques liés à la Chine infiltrent une entreprise d’Asie de l’Est pendant 3 ans à l’aide d’appareils F5
2024-06-18 01:13:27
17 juin 2024NewsroomCyber-espionnage / Vulnérabilité
Un acteur présumé de cyberespionnage lié à la Chine a été attribué à une attaque prolongée contre une organisation anonyme située en Asie de l’Est pendant une période d’environ trois ans, l’adversaire ayant établi sa persistance en utilisant les anciens appareils F5 BIG-IP et en les utilisant comme système interne. commandement et contrôle (C&C) à des fins d’évasion de la défense.
La société de cybersécurité Sygnia, qui a répondu à l’intrusion fin 2023, suit l’activité sous le nom Fourmi de veloursle caractérisant comme possédant de solides capacités pour pivoter rapidement et adapter ses tactiques aux efforts de contre-remédiation.
“Velvet Ant est un acteur menaçant sophistiqué et innovant”, affirme la société israélienne dit dans un rapport technique partagé avec The Hacker News. “Ils ont collecté des informations sensibles sur une longue période, en se concentrant sur les informations client et financières.”
Les chaînes d’attaque impliquent l’utilisation d’une porte dérobée connue appelée PlugX (alias Korplug), un cheval de Troie modulaire d’accès à distance (RAT) qui a été largement utilisé par opérateurs d’espionnage avec des liens avec les intérêts chinois. PlugX est connu pour s’appuyer fortement sur une technique appelée Chargement latéral des DLL pour infiltrer les appareils.
Sygnia a déclaré avoir également identifié des tentatives de la part de l’acteur malveillant visant à désactiver le logiciel de sécurité des points finaux avant d’installer PlugX, avec des outils open source comme Impacket utilisés pour le mouvement latéral.
Une variante retravaillée de PlugX qui utilisait un serveur de fichiers interne pour le C&C a également été identifiée dans le cadre des efforts de réponse aux incidents et de remédiation, permettant ainsi au trafic malveillant de se fondre dans l’activité réseau légitime.
“Cela signifie que l’acteur malveillant a déployé deux versions de PlugX au sein du réseau”, a noté la société. “La première version, configurée avec un serveur C&C externe, a été installée sur des points finaux avec accès direct à Internet, facilitant l’exfiltration d’informations sensibles. La deuxième version n’avait pas de configuration C&C et a été déployée exclusivement sur des serveurs existants.”
En particulier, il a été constaté que la deuxième variante avait abusé des appareils F5 BIG-IP obsolètes comme canal secret pour communiquer avec le serveur C&C externe en émettant des commandes via un tunnel SSH inversé, soulignant une fois de plus à quel point les appareils Edge compromettants peuvent permettre les acteurs menaçants de gagner en persistance pendant de longues périodes.
“Il suffit d’une seule chose pour qu’un incident d’exploitation massive se produise : un service Edge vulnérable, c’est-à-dire un logiciel accessible depuis Internet”, explique WithSecure. dit dans une analyse récente.
« Des appareils comme ceux-ci sont souvent destinés à rendre un réseau plus sécurisé, mais à maintes reprises, des vulnérabilités ont été découvertes dans ces appareils et exploitées par des attaquants, offrant ainsi une parfaite implantation dans un réseau cible. »
Une analyse médico-légale ultérieure des appareils F5 piratés a également révélé la présence d’un outil nommé PMCD qui interroge le serveur C&C de l’acteur malveillant toutes les 60 minutes pour rechercher des commandes à exécuter, ainsi que des programmes supplémentaires pour capturer les paquets réseau et un utilitaire de tunneling SOCKS baptisé EarthWorm. qui a été utilisé par des acteurs comme Gelsemium et Lucky Mouse.
Le vecteur d’accès initial exact – qu’il s’agisse de spear phishing ou d’exploitation de failles de sécurité connues dans les systèmes exposés à Internet – utilisé pour violer l’environnement cible n’est actuellement pas connu.
Ce développement fait suite à l’émergence de nouveaux clusters liés à la Chine, suivis comme Unfading Sea Haze, Operation Diplomatic Specter et Operation Crimson Palace, qui ont été observés ciblant l’Asie dans le but de collecter des informations sensibles.
Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.
#Des #pirates #informatiques #liés #Chine #infiltrent #une #entreprise #dAsie #pendant #ans #laide #dappareils
1718665851
Share this:
Album : Miranda Lambert – Critique de Postcards From Texas
2024-09-20 02:51:50 Miranda Lambert est l’une de ces stars de la country qui sont très connues aux
Share this:
Cour suprême de cassation | Détail de la jurisprudence civile
2024-09-17 07:30:04 Président : A. Valitutti Intervenant : REA Russo La première section civile a soulevé la question
Share this:
Lors de la deuxième séance d’essais à Singapour, Lando Norris a été le plus rapide – F1sport.cz
Lando Norris a réalisé le meilleur temps lors de la deuxième séance d’essais du Grand Prix de
Share this:
Medas continue de s’inquiéter à Gondomar. Jovim, Foz do Sousa et Melres cèdent aux moyens de lutte contre les incendies
Plus de 200 agents appuyés par 58 véhicules et deux moyens aériens sont toujours sur le terrain.
Share this:
RECENT POSTS
7 conseils efficaces pour communiquer avec les gens et établir des contacts utiles
Comment trouver l’amour en 2022 ?
ADVERTISEMENT
Tags