Les entités gouvernementales et de télécommunications ont été soumises à une nouvelle vague d’attaques perpétrées par un acteur menaçant lié à la Chine, identifié comme Tordeuse des bourgeons à l’aide d’un ensemble d’outils malveillants mis à jour.
Les intrusions, ciblant une organisation de télécommunications du Moyen-Orient et un gouvernement asiatique, ont eu lieu en août 2023, l’adversaire déployant une version améliorée de sa boîte à outils SysUpdate, a déclaré l’équipe Symantec Threat Hunter, qui fait partie de Broadcom, dans un rapport partagé avec The Hacker. Nouvelles.
Budworm, également appelé APT27, Bronze Union, Emissary Panda, Iron Tiger, Lucky Mouse et Red Phoenix, est connu pour être actif depuis au moins 2013, ciblant un large éventail de secteurs industriels dans la poursuite de ses objectifs de collecte de renseignements. .
Le groupe d’États-nations exploite divers outils tels que le shell Web China Chopper, Gh0st RAT, HyperBro, PlugX, SysUpdate et ZXShell pour exfiltrer des informations de grande valeur et maintenir l’accès aux systèmes sensibles sur une longue période de temps.
Un précédent rapport de SecureWorks de 2017 révélait le penchant des attaquants pour la collecte de renseignements en matière de défense, de sécurité et politiques auprès d’organisations du monde entier, les qualifiant de menace redoutable.
Il a également été observé qu’il exploitait des services Internet vulnérables pour accéder à des réseaux ciblés. Plus tôt en mars, Trend Micro a mis en lumière la version Linux de SysUpdate, qui intègre des fonctionnalités permettant de contourner les logiciels de sécurité et de résister à l’ingénierie inverse.
La porte dérobée est riche en fonctionnalités, permettant de capturer des captures d’écran, de mettre fin à des processus arbitraires, d’effectuer des opérations sur les fichiers, de récupérer des informations sur le lecteur et d’exécuter des commandes.
« En plus de ses logiciels malveillants personnalisés, Budworm a également utilisé une variété d’outils vivant de la terre et accessibles au public dans ces attaques », a déclaré Symantec. « Il semble que l’activité du groupe ait pu être stoppée au début de la chaîne d’attaque, car la seule activité malveillante observée sur les machines infectées est la collecte d’informations d’identification. »
Avec ce dernier développement, Budworm vient s’ajouter à une liste croissante d’acteurs menaçants qui se sont intéressés au secteur des télécommunications au Moyen-Orient, y compris des clusters jusqu’alors non documentés surnommés ShroudedSnooper et Sandman.
« SysUpdate est utilisé par Budworm depuis au moins 2020, et les attaquants semblent développer continuellement l’outil pour améliorer ses capacités et éviter d’être détecté. »
« Le fait que Budworm continue d’utiliser un logiciel malveillant connu (SysUpdate), ainsi que des techniques qu’il est connu pour favoriser, telles que le chargement latéral de DLL à l’aide d’une application qu’il a déjà utilisée à cette fin, indique que le groupe n’est pas trop préoccupé par cette situation. activité qui lui est associée si elle est découverte.
