Un acteur menaçant de langue chinoise appelé Scarab a été lié à une porte dérobée personnalisée appelée HeaderTip dans le cadre d’une campagne ciblant l’Ukraine depuis que la Russie s’est lancée dans une invasion le mois dernier, ce qui en fait le deuxième groupe de piratage basé en Chine après Mustang Panda à capitaliser sur le conflit. .

« L’activité malveillante représente l’un des premiers exemples publics d’un acteur menaçant chinois ciblant l’Ukraine depuis le début de l’invasion », a déclaré le chercheur de SentinelOne, Tom Hegel, dans un rapport publié cette semaine.

L’analyse de SentinelOne fait suite à un avis de l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) plus tôt cette semaine décrivant une campagne de harponnage qui conduit à la livraison d’un fichier d’archive RAR, qui est livré avec un exécutable conçu pour ouvrir un fichier leurre tout en étant furtif. déposer une DLL malveillante appelée HeaderTip en arrière-plan.

Scarab a été documenté pour la première fois par l’équipe Symantec Threat Hunter, qui fait partie de Broadcom Software, en janvier 2015, lorsqu’il a détaillé des attaques très ciblées contre des personnes russophones depuis au moins janvier 2012 pour déployer une porte dérobée appelée Scieron.

« Si les attaquants réussissent à compromettre les ordinateurs des victimes, ils utilisent une menace de porte dérobée de base appelée Trojan.Scieron pour déposer Trojan.Scieron.B sur l’ordinateur », ont noté les chercheurs de Symantec à l’époque. « Trojan.Scieron.B a un composant de type rootkit qui cache une partie de son activité réseau et offre une fonctionnalité de porte dérobée plus améliorée. »

Les connexions de HeaderTip à Scarab proviennent de logiciels malveillants et d’infrastructures qui se chevauchent avec celles de Scieron, SentinelOne qualifiant ce dernier de prédécesseur de la porte dérobée récemment découverte. Conçu comme un fichier DLL 32 bits et écrit en C++, HeaderTip a une taille de 9,7 Ko et sa fonctionnalité se limite à agir comme un package de première étape pour récupérer les modules de l’étape suivante à partir d’un serveur distant.

« Sur la base d’objectifs connus depuis 2020, y compris ceux contre l’Ukraine en mars 2022, en plus de l’utilisation d’une langue spécifique, nous évaluons avec une confiance modérée que Scarab parle chinois et opère à des fins de collecte de renseignements géopolitiques »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *