Home » International » Un acteur de menace d’espionnage frappe plusieurs entités gouvernementales

Un acteur de menace d’espionnage frappe plusieurs entités gouvernementales

by Nouvelles
Un acteur de menace d’espionnage frappe plusieurs entités gouvernementales

Un acteur malveillant récemment découvert, nommé SneakyChef, cible des entités gouvernementales dans plusieurs pays des régions EMEA et Asie avec un logiciel malveillant connu appelé SugarGh0st dans le cadre d’une campagne d’espionnage en cours.

Les chercheurs de Cisco Talos ont signalé pour la première fois SugarGh0st en novembre 2023, après avoir découvert le logiciel malveillant dans le cadre d’attaques d’août 2023 qui visaient le ministère des Affaires étrangères de l’Ouzbékistan et des utilisateurs en Corée du Sud. Après avoir constaté que l’utilisation du logiciel malveillant se poursuivait dans le cadre d’attaques contre davantage de pays, les chercheurs ont lié la campagne à un acteur malveillant qu’ils appellent SneakyChef. Le ciblage des acteurs menaçants s’est désormais étendu pour inclure les ministères des Affaires étrangères de Lettonie, du Kazakhstan, du Turkménistan, de l’Inde et de l’Angola, ainsi que l’ambassade royale d’Arabie saoudite.

« Talos estime avec un degré de confiance moyen que les opérateurs de SneakyChef sont probablement de langue chinoise en fonction de leurs préférences linguistiques, de l’utilisation des variantes de Gh0st RAT – un malware populaire parmi divers acteurs parlant chinois – et des cibles spécifiques, qui incluent le ministère des Affaires étrangères. affaires de divers pays et autres entités gouvernementales », ont déclaré Chetan Raghuprasad et Ashley Shen de Cisco Talos. dans une analyse du vendredi, publié en collaboration avec Yahoo! Équipe Paranoids Advanced Cyber ​​Menaces.

La chaîne d’attaque de la campagne implique des documents leurres, probablement envoyés via des e-mails de phishing. La campagne SugarGh0st de novembre a commencé de la même manière, mais alors que ces documents leurres utilisaient du contenu réel publié dans plusieurs sources ouzbèkes en 2021 (un document intitulé « détails du projet d’investissement.docx »), les attaques les plus récentes utilisent des documents numérisés relatifs à des agences gouvernementales ou à des conférences de recherche. qui ne semblent pas être accessibles au public sur Internet. Par exemple, une attaque a utilisé des documents leurres prétendument émanant du ministère des Affaires étrangères de l’Angola et liés à une réunion financière entre le ministère angolais de la Pêche et des Ressources marines et une société de conseil financier.

Une fois ouverts, ces documents leurres conduisent à l’exécution éventuelle de SugarGh0st, qui dispose de diverses capacités de contrôle à distance et d’espionnage, allant de la prise de captures d’écran des ordinateurs des victimes à l’accès aux caméras des appareils. Le RAT tente également de dissimuler sa trace en effaçant les journaux d’événements des applications, de la sécurité et du système des victimes.

D’autres chercheurs ont suivi les activités impliquant le SugarGh0st RAT. En mai, les chercheurs de Proofpoint ont déclaré avoir observé des campagnes contre une entreprise de télécommunications américaine ainsi que contre des organisations aux États-Unis impliquées dans des efforts d’intelligence artificielle dans le monde universitaire, le secteur privé et le gouvernement.

En plus de Gh0stRAT, ces campagnes plus récentes s’appuient sur un nouveau cheval de Troie d’accès à distance, que les chercheurs appellent SpiceRAT. Le malware s’appuie sur une technique de chargement latéral bien connue dans laquelle il exploite un chargeur légitime, afin de charger latéralement un chargeur malveillant et la charge utile. Dans cette campagne spécifique, SpiceRAT utilise un exécutable Samsung légitime, l’application Samsung RunHelp, afin de charger une DLL malveillante, qui a déjà été vue dans une poignée de campagnes de malware.

“Talos a découvert que SneakyChef a utilisé SpiceRAT et son plugin comme charges utiles dans cette campagne”, selon Raghuprasad et Shen. “Avec la capacité de télécharger et d’exécuter des binaires exécutables et des commandes arbitraires, SpiceRAT augmente considérablement la surface d’attaque sur le réseau de la victime, ouvrant la voie à de nouvelles attaques.”

2024-06-21 22:07:21
1719036611


#acteur #menace #despionnage #frappe #plusieurs #entités #gouvernementales

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.