Backdoor.Hartip

Backdoor.Hartip est une souche inédite de malware de porte dérobée. La menace a été observée pour la première fois par des chercheurs d'Infosec dans le cadre d'une longue campagne d'attaque principalement axée sur l'infection des entreprises japonaises et de leurs filiales à travers le monde. L'ampleur de la campagne et la sophistication affichée dans la chaîne d'attaque indiquent que les coupables sont un groupe de pirates informatiques Advanced Persistent Threat (APT). Combiné à plusieurs autres liens circonstanciels, il a conduit les chercheurs à attribuer l'attaque au groupe Cicada.

Selon le gouvernement américain, les opérations effectuées par Cicada sont parrainées par la Chine. Le même groupe se trouve également sous les noms APT10, Stone Panda et Cloud Hopper. Dans le passé, il a mené plusieurs attaques contre des entités japonaises. L'opération actuelle englobe un large éventail de secteurs industriels, y compris les secteurs de l'automobile, de la pharmacie et de l'ingénierie. Historiquement, Cicada a mené des opérations d'espionnage d'entreprise et de vol de données, et cette dernière campagne n'est pas différente.

Cependant, les pirates ont également lancé quelques nouvelles astuces menaçantes en plus de leurs méthodes et outils habituels. Premièrement, ils ont commencé à exploiter une vulnérabilité menaçante de NetLogon appelée ZeroLogon. Cet exploit a reçu l'identifiant CVE-2020-1472 et une cote de gravité de 10. Bien que Microsoft l'ait corrigé en août, le nombre d'organisations qui ont pu retarder la mise à jour de leurs systèmes reste important.