Une campagne persistante et à grande échelle de cyberattaques a été identifiée ciblant des organisations ayant des liens avec le Japon.
Les chercheurs de Symantec ont découvert la campagne, qui utilise la vulnérabilité ZeroLogon récemment découverte, la reliant à des exploits contre des entreprises basées dans les secteurs industriel, automobile, pharmaceutique et de l’ingénierie.
La dernière vague d’attaques se poursuit depuis au moins la mi-octobre 2019 et ne se termine que le mois dernier. Les entreprises visées sont toutes des entités bien connues, dont beaucoup ont des liens avec le Japon, ce qui correspond au modus operandi de ce groupe. APT10 était connu pour cibler les entreprises japonaises lors des précédentes campagnes d’attaque.
«L’ampleur et la sophistication de cette campagne d’attaque indiquent qu’il s’agit du travail d’un grand groupe doté de ressources suffisantes, avec Symantec, une division de Broadcom, découvrant suffisamment de preuves pour l’attribuer à Cicada (alias APT10, Stone Panda, Cloud Hopper) », A expliqué l’équipe Symantec Threat Hunter. «Cicada est impliquée dans des opérations de type espionnage depuis 2009, et les responsables du gouvernement américain ont lié les activités d’APT10, que nous suivons sous le nom de Cicada, au gouvernement chinois.»
Sommaire
Une gamme de tactiques
Symantec a constaté que le groupe AP10 utilisait une gamme d’outils dans la campagne, notamment la reconnaissance du réseau, le vol d’informations d’identification, les scripts PowerShell et l’archivage RAR. Le chargement latéral de DLL a également été utilisé pour injecter une forme de malware personnalisé, baptisé «Backdoor.Hartip».
Notamment, APT10 s’est également avéré cibler la vulnérabilité ZeroLogon. Bien qu’un correctif ait été publié pour cette faille de sécurité en août, les appareils vulnérables restent menacés. Auparavant, le bogue était utilisé par des attaquants pour usurper des comptes de contrôleur de domaine, voler des informations d’identification de domaine et compromettre tous les services d’identité Active Directory.
Il semble que l’objectif principal des assaillants était le vol d’informations. Les organisations japonaises, en particulier, doivent rester vigilantes, d’autant plus que l’ATP10 dispose manifestement de moyens importants pour mener de nouvelles attaques.
Via ZDNet
