« Des cyber-espions liés à la Chine infectent le gouvernement et le secteur informatique russes »

Les cyber-espions suspects de liens avec la Chine ont infecté « des dizaines » d’ordinateurs appartenant à des agences gouvernementales russes et à des fournisseurs de services informatiques avec des portes dérobées et des chevaux de Troie depuis la fin de juillet, selon Kaspersky. La société de sécurité basée en Russie a affirmé que le logiciel malveillant utilisé dans les attaques ciblées en cours – baptisé EastWind – a des liens avec deux groupes chinois connus sous les noms de APT27 et APT31. Après avoir obtenu un premier accès aux appareils de leurs victimes grâce à des e-mails d’hameçonnage, les attaquants ont utilisé divers services cloud et sites tels que GitHub, Dropbox, Quora, LiveJournal et Yandex.Disk pour diriger leur logiciel malveillant de contrôle à distance afin de télécharger des charges utiles supplémentaires sur les ordinateurs compromis. Ces services ont été efficacement utilisés comme serveurs de commande et contrôle (C2). Ces e-mails d’hameçonnage contenaient des pièces jointes aux archives RAR contenant un raccourci Windows ainsi qu’un document leurre et à la fois des fichiers légitimes et malveillants aux adresses e-mail des organisations. Cela inclut des bibliothèques malveillantes qui utilisent le chargement de DLL pour déposer une porte dérobée qui commence ensuite à communiquer avec Dropbox. Une fois qu’elle établit un contact avec le service de stockage cloud, la porte dérobée récupère des instructions de ses maîtres, exécute des commandes, effectue des opérations de reconnaissance et télécharge des logiciels malveillants supplémentaires. Les logiciels malveillants incluent un cheval de Troie – précédemment lié à APT31 lors d’une campagne de 2021 et 2023 – que Kaspersky a nommé « GrewApacha ».

Share the Post: