Espionnage industriel d'origine chinoise

Bitdefender_Actualités

Partager le post

Bitdefender Labs a découvert et analysé une attaque complexe d'espionnage industriel. L'initiateur le plus probable de la campagne était le groupe de menace persistante avancée (APT) Backdoor Diplomacy, qui a des liens avec la Chine.

Les victimes se trouvent actuellement dans l'industrie des télécommunications au Moyen-Orient. Les actions des cybercriminels ont commencé en août 2021. La campagne a été conçue en plusieurs phases et a utilisé un shell Web dans une pièce jointe à un e-mail pour obtenir un accès initial au système de la victime. L'objet et la pièce jointe des e-mails indiquaient qu'un serveur Exchange était le vecteur d'infection.

A la recherche de plus de contrôle

🔎 Chronologie des outils utilisés dans la campagne d'espionnage industriel (Image : Bitdefender).

À la recherche d'informations, les attaquants ont utilisé des outils utilitaires intégrés tels que hostname.exe, systeminfo.exe, ipconfig.exe, netstat.exe, ping.exe et net.exe. Ils recherchaient des informations sur la configuration des systèmes PC, des contrôleurs de domaine, des ordinateurs et des utilisateurs, mais également sur des groupes spécifiques tels que les administrateurs de domaine ou les utilisateurs de bureau à distance. À l'aide d'outils tels que Ldifde et csvde, ils ont exporté des données depuis Active Directory. Des scanners open source et d'autres logiciels accessibles au public tels que Nimscan, SoftPErfect Network Scanner v5.4.8 Network Service Management Tool - v2.1.0.0 et Netbios Scanner ont également été utilisés.

Avec des mécanismes tels que des clés d'enregistrement et des services, ainsi qu'un abonnement à Windows Management Instrumentation (WMI), les cybercriminels ont acquis une présence persistante dans le réseau des victimes. Afin de se camoufler de la cyberdéfense, les auteurs de l'attaque ont utilisé différents chargeurs, augmenté les privilèges existants des identités numériques, exclu les chemins pour une analyse de logiciels malveillants et manipulé les horodatages. Les commandes Powershell et les enregistreurs de frappe ont été utilisés pour espionner les e-mails, y compris les métadonnées. Généralement, les attaquants ont utilisé une variété d'outils légitimes ou même personnalisés.

Boîte à outils complète

Les pirates ont utilisé tout un arsenal d'outils tels que la porte dérobée IRAFAU - remplacée plus tard par Quarian - pour télécharger, télécharger et manipuler des fichiers - et Remote Shell. Pinkman Agent et un outil découvert par les experts de Bitdefender et nommé "Impersoni-fake-ator" pour empêcher la défense de détecter les fins malveillantes. Des outils légitimes comme DbgView et Putty ont également masqué les processus malveillants. Il existait d'autres outils d'accès à distance, de proxy et de tunnellisation des données. Une chronologie montre comment les attaquants ont utilisé les différents outils pour leur campagne les uns après les autres.

Plus sur Bitdefender.com

 


À propos de Bitdefender

Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de


 

Articles liés au sujet

Rapport : 40 % de phishing en plus dans le monde

Le rapport actuel de Kaspersky sur le spam et le phishing pour 2023 parle de lui-même : les utilisateurs allemands sont à la recherche ➡ En savoir plus

BSI définit des normes minimales pour les navigateurs Web

Le BSI a révisé la norme minimale pour les navigateurs Web pour l'administration et a publié la version 3.0. Vous pouvez vous en souvenir ➡ En savoir plus

Un malware furtif cible les entreprises européennes

Les pirates informatiques attaquent de nombreuses entreprises à travers l'Europe avec des logiciels malveillants furtifs. Les chercheurs d'ESET ont signalé une augmentation spectaculaire des attaques dites AceCryptor via ➡ En savoir plus

Sécurité informatique : la base de LockBit 4.0 désamorcée

Trend Micro, en collaboration avec la National Crime Agency (NCA) du Royaume-Uni, a analysé la version non publiée en cours de développement. ➡ En savoir plus

MDR et XDR via Google Workspace

Que ce soit dans un café, un terminal d'aéroport ou un bureau à domicile, les employés travaillent dans de nombreux endroits. Cependant, cette évolution pose également des défis ➡ En savoir plus

Test : Logiciel de sécurité pour les terminaux et les PC individuels

Les derniers résultats des tests du laboratoire AV-TEST montrent de très bonnes performances de 16 solutions de protection établies pour Windows ➡ En savoir plus

FBI : Internet Crime Report chiffre 12,5 milliards de dollars de dégâts 

L'Internet Crime Complaint Center (IC3) du FBI a publié son rapport 2023 sur la criminalité sur Internet, qui comprend des informations provenant de plus de 880.000 XNUMX personnes. ➡ En savoir plus

HeadCrab 2.0 découvert

La campagne HeadCrab contre les serveurs Redis, active depuis 2021, continue d'infecter avec succès les cibles avec la nouvelle version. Le mini-blog des criminels ➡ En savoir plus