
Un acteur présumé parrainé par l’État chinois a violé une autorité de certification numérique ainsi que des agences gouvernementales et de défense situées dans différents pays d’Asie dans le cadre d’une campagne en cours depuis au moins mars 2022.
Symantec, de Broadcom Software, a lié les attaques à un groupe adverse qu’il suit sous le nom de Billbug, citant l’utilisation d’outils précédemment attribués à cet acteur. L’activité semble être motivée par l’espionnage et le vol de données, bien qu’aucune donnée n’ait été volée à ce jour.
Billbug, également appelé Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon et Thrip, est un groupe de menace persistante avancée (APT) qui est censé opérer au nom des intérêts chinois. Les principales cibles sont les organisations gouvernementales et militaires en Asie du Sud-Est.
Les attaques montées par l’adversaire en 2019 impliquaient l’utilisation de portes dérobées comme Hannotog et Sagerunex, avec les intrusions observées à Hong Kong, Macao, Indonésie, Malaisie, Philippines et Vietnam.
Les deux implants sont conçus pour accorder un accès à distance persistant au réseau victime, même si l’acteur de la menace est connu pour déployer un voleur d’informations connu sous le nom de Catchamas dans certains cas pour exfiltrer des informations sensibles.
« Le ciblage d’une autorité de certification est notable, car si les attaquants réussissaient à la compromettre pour accéder aux certificats, ils pourraient potentiellement les utiliser pour signer un logiciel malveillant avec un certificat valide et l’aider à éviter la détection sur les machines victimes », ont déclaré les chercheurs de Symantec dans un rapport partagé avec breachtrace.
« Il pourrait également utiliser des certificats compromis pour intercepter le trafic HTTPS. »
La société de cybersécurité a toutefois noté qu’il n’y avait aucune preuve indiquant que Billbug avait réussi à compromettre les certificats numériques. L’autorité concernée, a-t-il ajouté, a été informée de l’activité.
Une analyse de la dernière vague d’attaques indique que l’accès initial est probablement obtenu grâce à l’exploitation d’applications accessibles sur Internet, après quoi une combinaison d’outils sur mesure et vivant hors du terrain est utilisée pour atteindre ses objectifs opérationnels.
ela comprend des utilitaires tels que WinRAR, Ping, Traceroute, NBTscan, Certutil, en plus d’une porte dérobée capable de télécharger des fichiers arbitraires, de collecter des informations système et de télécharger des données cryptées.
Un outil proxy open source multi-hop appelé Stowaway et le malware Sagerunex, qui est déposé sur la machine via Hannotog, ont également été détectés dans les attaques. La porte dérobée, pour sa part, est équipée pour exécuter des commandes arbitraires, supprimer des charges utiles supplémentaires et siphonner des fichiers intéressants.
« La capacité de cet acteur à compromettre plusieurs victimes à la fois indique que ce groupe de menaces reste un opérateur qualifié et doté de ressources suffisantes, capable de mener des campagnes soutenues et de grande envergure », ont conclu les chercheurs.
« Billbug semble également ne pas être découragé par la possibilité de se voir attribuer cette activité, en réutilisant des outils qui ont été liés au groupe dans le passé. »