L’équipe d’investigation et d’analyse mondiale (GReAT) de Kaspersky a identifié une nouvelle campagne de cyberespionnage avancée lancée par le groupe connu sous le nom de Tropic Trooper. Cette opération a été dirigée pendant plus d’un an par une entité gouvernementale du Moyen-Orient, avec la proposition d’observer de manière continue. Les pirates s’infiltrent et se maintiennent dans l’objet rouge en fournissant le shell Web China Chopper, qui découvre GREAT dans un serveur Web de code ouvert.

Tropic Trooper, également connu comme KeyBoy ou Pirate Panda, est actif depuis moins de 2011 et s’est développé dans les secteurs gouvernementaux, de la santé, des transports et de la haute technologie, principalement dans des régions comme Taïwan, les Philippines et Hong Kong. Les enquêtes récentes de Kaspersky révèlent que, depuis juin 2023, le groupe a lancé de nouvelles campagnes de cyberespionnage persistantes contre une entité gouvernementale du Moyen-Orient.

En juin 2024, Kaspersky a détecté une variante actualisée du shell China Chopper. L’analyse de GREAT a découvert qu’elle est devenue un module dans le CMS Umbraco, un système de gestion des contenus d’utilisation étendue. Les attaques utilisent cette plate-forme pour mener une série d’activités malveillantes, comme le robot de données, le contrôle à distance, la suppression des logiciels malveillants et les techniques avancées pour éviter les détections, tout cela avec l’objectif de réaliser de l’espionnage cybernétique.

Il y a une variation notable des capacités employées au cours des différentes étapes du cyberespionnage, ainsi que de vos tactiques lors du fracas. Lorsque les atacantes sont conscientes que vos portes traseras sont localisées, intention de charger des versions plus nouvelles pour éviter la détectionaugmentant ainsi la probabilité que ces nouvelles choses soient découvertes dans un futur proche”explique Shérif Magdyanalyste senior de Seguridad en GREAT de Kaspersky.

Ciberespionaje a Medio Oriente

En outre, Kaspersky a identifié nouveaux implants de sécurité de l’ordre de recherche de DLLqui sera chargé depuis un exécutable légitime mais vulnérable en raison du manque d’une spécification d’itinéraire complète pour la DLL requise. Cette chaîne d’attaque avait pour but de décharger le chargeur Crowdoor, appelé ainsi par la porte arrière Porte des moineaux détaillé par ESET. Lorsque les mesures de sécurité de Kaspersky bloquent le chargeur initial de Crowdoor, les agents changent rapidement une variante non signalée précédemment avec un impact similaire.

À ce moment-là, les experts de Kaspersky attribuent cette activité à l’acteur de la société chinoise connu comme Soldat des tropiques. Nos hallazgos révèlent d’importantes coïncidences dans les techniques rapportées dans les campagnes récentes de ce malware. Les événements analysés par GREAT montrent également une forte corrélation avec ce qui avait été précédemment confirmé par Tropic Trooper.

Kaspersky a observé cette intrusion dirigée dans un Entité gouvernementale du Moyen-Orient. Simultanément, un sous-ensemble de ces événements dirigés par une entité gouvernementale en Malaisie a été détecté. Ces incidents sont liés aux objets typiques et à l’information géographique décrite dans les informations récentes sur ce malware. « Tropic Trooper APT s’adresse généralement aux gouvernements, aux soins médicaux, aux transports et aux industries de haute technologie. La présence des tactiques, techniques et procédures (TTP) de ce groupe au sein des entités gouvernementales critiques du Moyen-Orient, en particulier celles impliquées dans les études de droit humain, indica un changement stratégique dans vos opérations. Cette information peut aider la communauté de renseignement à mieux comprendre les motivations de cet acteur”ajoute Magdy.

Recommandations de sécurité

Pour éviter d’être victime d’une attaque dirigée par un acteur connu ou mal connu, les analystes de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

  • Proportionnez votre équipe de SOC à l’accès aux informations les plus récentes. Kaspersky Threat Intelligence est un point d’accès unique pour les services de renseignement de l’entreprise qui transmettent des données et des informations sur les cyberattaques recopiées par Kaspersky depuis plus de 20 ans.
  • Meilleures capacités de votre équipement de cybersécurité pour aborder les dernières solutions dirigées avec la formation en ligne de Kaspersky, conçue par des experts de GREAT.
  • Paradétection des points finaux, investigation et résolution des incidents, Implémentez les solutions EDR comme Kaspersky Next.
  • En plus d’adopter une protection essentielle pour les points finaux, obtenir une solution de sécurité au niveau de l’entreprise qui détecte des menaces avancées sur le rouge dans une étape temporaire, comme Kaspersky Anti Targeted Attack Platform.
  • Dado que beaucoup d’attaques dirigées commencent avec le phishing ou d’autres techniques d’ingénierie sociale, Conscience de votre équipe en matière de sécurité et d’aptitudes pratiquespar exemple, basé sur la Kaspersky Automated Security Awareness Platform.

A lire également