APT Group ‘SideCopy’ trouvé ciblant Govt. Fonctionnaires en Inde

  • FrançaisFrançais



  • Quelques jours après des informations faisant état d’intrusions non autorisées d’acteurs parrainés par l’État chinois ciblant le secteur électrique indien, des chercheurs en sécurité ont découvert une nouvelle campagne de cyberespionnage ciblant les employés du gouvernement. Une enquête de sécurité de Cisco Talos a révélé une augmentation des activités cybercriminelles de Copie latérale groupe d’acteurs de la menace ciblant des représentants du gouvernement en Inde. Le gang SideCopy a été trouvé en train de distribuer diverses campagnes de logiciels malveillants destinées à compromettre les appareils ciblés et à voler des données sensibles. Après avoir infecté la source ciblée, les attaquants déploient des plug-ins supplémentaires tels que des énumérateurs de fichiers, des enregistreurs de frappe et des voleurs d’informations d’identification pour capturer des informations précieuses auprès du personnel gouvernemental.

    L’évolution du gang SideCopy

    SideCopy est un groupe de menaces persistantes avancées (APT) actif depuis 2019. Les chercheurs ont déclaré que SideCopy utilise des techniques similaires au groupe Transparent Tribe APT (également connu sous le nom d’APT36) pour déployer le malware. SideCopy a étendu ses opérations malveillantes et ajouté de nouvelles tactiques à son arsenal. Les chercheurs ont découvert différents types de chaînes d’infections de logiciels malveillants diffusant des chevaux de Troie d’accès à distance personnalisés (RAT) comme Allakore, njRAT, et CetaRAT.

    La chaîne d’infection

    Le groupe SideCopy lance sa chaîne d’infection à l’aide de fichiers LNK malveillants, suivis de plusieurs HTA et DLL de chargement pour déployer des charges utiles supplémentaires et finales de logiciels malveillants. Les chercheurs ont découvert que la campagne SideCopy utilisait de nouveaux RAT et plugins, notamment MargulasRAT, DetaRAT, ReverseRAT et ActionRAT. En plus de l’utilisation de familles de RAT personnalisées, SideCopy a également utilisé d’autres RAT de produits connus sous le nom de Lilith et Épicentre. L’infection réussie par un logiciel malveillant a conduit à l’installation de charges utiles supplémentaires et de plug-ins modulaires pour effectuer diverses activités malveillantes telles que l’enregistrement de frappe, l’énumération de fichiers et le vol de mot de passe du navigateur.

    « L’activité récente du groupe signale cependant une accélération de ses opérations de développement. Talos a découvert plusieurs nouvelles familles et plugins RAT actuellement utilisés dans les chaînes d’infection SideCopy. Les tactiques de ciblage et les thèmes observés dans les campagnes SideCopy indiquent un degré élevé de similitude avec le Transparent Tribe APT (alias APT36) ciblant également l’Inde. Ceux-ci incluent l’utilisation de leurres se faisant passer pour des documents opérationnels appartenant à l’armée et aux groupes de réflexion et les infections basées sur des pièges à miel », a déclaré Cisco Talos.

    Opération SideCopier

    En septembre 2020, le fournisseur de solutions de cybersécurité Quick Heal a révélé des preuves liées à la campagne de cyberespionnage de SideCopy. Connue sous le nom d’« Opération SideCopy », la campagne ciblait le personnel de l’armée indienne depuis 2019 pour voler des informations sensibles. Les chercheurs ont observé trois processus de chaîne d’infection dans lesquels les attaquants ont exploité la vulnérabilité de l’éditeur d’équations (CVE-2017-11882) comme vecteur d’infection initial. Lire la suite Ici

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *