Un acteur malveillant jusqu’alors non documenté et d’origine inconnue a été associé à un certain nombre d’attaques ciblant des organisations des secteurs manufacturier, informatique et biomédical à Taiwan.
L’équipe Symantec Threat Hunter, qui fait partie de Broadcom, a attribué les attaques à une menace persistante avancée (APT) qu’elle suit sous le nom Ombre. Les preuves montrent que la campagne a commencé en février 2023 et s’est poursuivie au moins jusqu’en mai 2023.
Une agence gouvernementale située dans les îles du Pacifique, ainsi que des entités au Vietnam et aux États-Unis sont également probablement ciblées dans le cadre de cette activité.
« Cette activité s’est démarquée par l’utilisation par Grayling d’une technique distinctive de chargement latéral de DLL qui utilise un décrypteur personnalisé pour déployer des charges utiles », a déclaré la société dans un rapport partagé avec The Hacker News. « La motivation qui motive cette activité semble être la collecte de renseignements. »
L’implantation initiale dans les environnements victimes aurait été réalisée grâce à l’exploitation d’une infrastructure publique, suivie du déploiement de shells Web pour un accès persistant.
Les chaînes d’attaque exploitent ensuite le chargement latéral de DLL via SbieDll_Hook pour charger diverses charges utiles, notamment Cobalt Strike, NetSpy et le framework Havoc, ainsi que d’autres outils comme Mimikatz. Grayling a également été observé en train de tuer tous les processus répertoriés dans un fichier appelé processlist.txt.
Le chargement latéral de DLL est une technique populaire utilisée par divers acteurs malveillants pour contourner les solutions de sécurité et inciter le système d’exploitation Windows à exécuter du code malveillant sur le point final cible.
Ceci est souvent réalisé en plaçant une DLL malveillante portant le même nom qu’une DLL légitime utilisée par une application dans un emplacement où elle sera chargée avant la DLL réelle en tirant parti du mécanisme d’ordre de recherche des DLL.
« Les attaquants entreprennent diverses actions une fois qu’ils obtiennent un premier accès aux ordinateurs des victimes, notamment l’augmentation des privilèges, l’analyse du réseau et l’utilisation de téléchargeurs », a déclaré Symantec.
Il convient de noter que l’utilisation du chargement latéral de DLL concernant SbieDll_Hook et SandboxieBITS.exe a déjà été observée dans le cas de Naikon APT lors d’attaques ciblant des organisations militaires en Asie du Sud-Est.
Symantec a déclaré à The Hacker News qu’il n’avait trouvé aucun chevauchement entre Grayling et Naikon, mais a noté que « le chargement latéral de DLL est une technique assez courante pour les acteurs APT de nos jours, en particulier parmi les acteurs opérant en Chine ».
Il n’existe aucune preuve suggérant que l’adversaire se soit livré à une quelconque forme d’exfiltration de données à ce jour, ce qui suggère que les motivations sont davantage orientées vers la reconnaissance et la collecte de renseignements.
L’utilisation d’outils accessibles au public est considérée comme une tentative de compliquer les efforts d’attribution, tandis que l’arrêt du processus indique que l’évasion de la détection est une priorité pour rester sous le radar pendant de longues périodes.
« Le ciblage massif des organisations taïwanaises indique qu’elles opèrent probablement à partir d’une région ayant un intérêt stratégique à Taiwan », a ajouté la société.
