Les acteurs chinois de Tropic Trooper ciblent le secteur des transports

par ·

  • Français


    • Des experts en sécurité ont identifié un nouveau cyber-espionnage du groupe APT (Advanced Persistent Threat) parrainé par l’État chinois, « Tropic Trooper », ciblant les secteurs des transports, des soins de santé et du gouvernement à Hong Kong, aux Philippines et à Taïwan. Également connus sous le nom de Earth Centaur et KeyBoy, les opérateurs de Tropic Trooper sont actifs depuis 2011, menant divers types de cybercampagnes.

    Selon un rapport de Trend Micro, le groupe a réussi à accéder à certains documents internes tels que les horaires de vol, les détails du plan financier et d’autres informations personnelles sur les hôtes compromis.

    Capacités du Tropic Trooper

    • Maîtrise du travail d’équipe rouge
    • Contourne les paramètres de sécurité et maintient son fonctionnement sans obstruction
    • Utilise des portes dérobées avec différents protocoles comme un proxy inverse pour contourner la surveillance des systèmes de sécurité réseau
    • Exploite les frameworks open source pour développer de nouvelles variantes de porte dérobée

    « Nous pensons qu’il continuera à collecter des informations internes auprès des victimes compromises et qu’il attend simplement une opportunité d’utiliser ces données. Les activités que nous avons observées ne sont que la pointe de l’iceberg, et leurs cibles pourraient être étendues à d’autres industries liées au transport. Notre objectif, à travers cet article, est d’encourager les entreprises à revoir leurs propres paramètres de sécurité et à se protéger contre les dommages et les compromis », a déclaré Trend Micro.

    Lire aussi : Les acteurs chinois de la menace s’attaquent aux opérateurs de télécommunications en Asie du Sud-Est

    Vecteur d’attaque de Tropic Trooper

    Tropic Trooper a initialement exploité les vulnérabilités du serveur Internet Information Services (IIS) et du serveur Exchange comme points d’entrée. Plus tard, les attaquants ont déployé des shells Web, le chargeur .NET (Nerapack) et la première étape de la porte dérobée (outil d’administration à distance Quasar alias Quasar RAT) sur la machine compromise. Sur la base des victimes, les acteurs ont installé diverses portes dérobées de deuxième étape comme ChiserClient et SmileSvr.

    Après une exploitation réussie, Tropic Trooper a commencé la découverte d’Active Directory (AD) et a diffusé ses outils via Server Message Block (SMB). Ensuite, ils ont utilisé des outils de pénétration intranet pour établir la connexion entre l’intranet de la victime et leurs serveurs de commande et de contrôle (C&C). En outre, le groupe aurait utilisé plusieurs outils pour vider les informations d’identification sur les machines compromises.

    « Après avoir exploité avec succès le système vulnérable, l’acteur malveillant utilisera plusieurs outils de piratage pour découvrir et compromettre les machines sur l’intranet de la victime. Nous avons également observé des tentatives de déploiement d’outils pour exfiltrer des informations volées à ce stade. Nous avons trouvé des preuves d’outils spécifiques grâce auxquels les attaquants atteignent leurs objectifs (découverte du réseau, accès à l’intranet et exfiltration) étape par étape », a ajouté Trend Micro.

    Les pirates chinois ciblent le secteur de l’électricité

    Dans un passé récent, les recherches en matière de sécurité de Recorded Future ont découvert un groupe d’acteurs menaçants liés à la Chine, surnommé RedEcho, ciblant 12 organisations indiennes, dont 10 dans le secteur de l’électricité. Les chercheurs ont découvert un sous-ensemble de serveurs qui partagent des tactiques, techniques et procédures (TTP) familières avec plusieurs groupes parrainés par l’État chinois précédemment signalés. Lire la suite Ici

    Source

    Étiquettes :

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *