Le groupe de cyberespionnage chinois Moshen Dragon cible les entreprises de télécommunications asiatiques

  • Principal
  • Nouvelles
  • Le groupe de cyberespionnage chinois Moshen Dragon cible les entreprises de télécommunications asiatiques

Les chercheurs ont identifié un nouvel ensemble de cyberactivités malveillantes suivies sous le nom de Moshen Dragon, ciblant les fournisseurs de services de télécommunications en Asie centrale.

Bien que ce nouveau groupe de menaces ait un certain chevauchement avec « RedFoxtrot » et « Nomad Panda », y compris l'utilisation des variantes de logiciels malveillants ShadowPad et PlugX, il existe suffisamment de différences dans leur activité pour les suivre séparément.

Selon un nouveau rapport de Sentinel Labs, Moshen Dragon est un groupe de pirates experts capables d'ajuster leur concentration en fonction des défenses auxquelles ils sont confrontés.

Les pirates passent beaucoup de temps à essayer de télécharger des DLL Windows malveillantes dans des produits antivirus, à voler des informations d'identification pour se déplacer latéralement et finalement à exfiltrer les données des machines infectées.

Dragon Mosen's Overall Chain of Operations

Chaîne d'opérations globale de Moshen Dragon (Laboratoires sentinelles)

détails de l'attaque

À l'heure actuelle, le vecteur d'infection étant inconnu, le rapport Sentinel Lab commence par l'abus d'antivirus, qui comprend des produits de TrendMicro, Bitdefender, McAfee, Symantec et Kaspersky.

Étant donné que ces produits audiovisuels fonctionnent avec des privilèges élevés sur le système d'exploitation Windows, le chargement d'une DLL malveillante dans leur processus permet aux pirates d'exécuter du code sur la machine avec peu de restrictions et d'échapper potentiellement à la détection.

Moshen Dragon utilise cette méthode pour implémenter Impacket, un kit Python créé pour faciliter les déplacements latéraux et l'exécution de code à distance via Windows Management Instrumentation (WMI).

Caractéristiques du mouvement latéral de l'impacket

Caractéristiques du mouvement latéral de l'impacket (Laboratoires sentinelles)

Impacket aide également à lutter contre le vol d'informations d'identification, en incorporant un outil open source qui capture les détails des événements de changement de mot de passe sur un domaine et les écrit dans le fichier 'C:Windows Temp Filter.log'.

Filtre de mot de passe utilisé pour voler les informations d'identification (Laboratoires sentinelles)

Lorsqu'il accède aux systèmes voisins, le groupe de menaces lance sur eux un chargeur passif qui confirme qu'il se trouve sur la bonne machine avant de l'activer en comparant le nom d'hôte à une valeur codée en dur.

Comme le suggère Sentinel Labs, cela indique que l'attaquant génère une DLL unique pour chacune des machines ciblées, une autre indication de leur sophistication et de leur diligence.

Le chargeur utilise le renifleur de paquets WinDivert pour intercepter le trafic entrant jusqu'à ce qu'il obtienne la chaîne requise pour l'auto-déchiffrement, puis décompresse et lance la charge utile (SNAC.log ou bdch.tmp).

Fonctions de chargeur exportées (Laboratoires sentinelles)

Selon Sentinel Labs, les charges utiles incluent des variantes de PlugX et ShadowPad, deux portes dérobées qui ont été utilisées par divers APT chinois ces dernières années. Le but ultime de l'auteur de la menace est d'extraire des données d'autant de systèmes que possible.

Le chargeur est également visible sur les systèmes du gouvernement américain.

Une découverte intéressante est que le chargeur analysé par Sentinel Labs a cette fois été détecté à nouveau par les chercheurs d'Avast en décembre 2021, qui l'ont découvert dans un système du gouvernement américain.

Cela pourrait signifier que Moshen Dragon a plusieurs cibles ou a changé son objectif, ou simplement que plusieurs APT chinois utilisent le chargeur particulier.

Étant donné que ces groupes partagent de nombreuses similitudes dans les charges utiles finales qu'ils déploient sur les systèmes cibles, il ne serait pas surprenant qu'ils utilisent également des charges utiles identiques ou similaires.

Qu'est-ce que tu penses?