Panda vicieux
Il y a eu plusieurs histoires ces derniers mois de cybercriminels utilisant la menace très réelle du coronavirus pour propager des logiciels malveillants et des rançongiciels . Ces menaces se sont propagées dans le monde entier, mais il y en a eu un certain nombre en provenance de Chine en particulier. Au point que le groupe de piratage chinois parrainé par l'État, Vicious Panda, a commencé à propager son propre malware par le biais du coronavirus.
Les informations sur l'attaque proviennent de Check Point, qui a publié des recherches montrant qu'un APT chinois a « militarisé » des informations légitimes sur le coronavirus pour diffuser ses logiciels malveillants au plus grand nombre.
Table des matières
La deuxième attaque
L'attaque Vicious Panda est en fait la deuxième grande campagne de logiciels malveillants liée au coronavirus (COVID-19) à sortir de Chine au cours des dernières semaines. Le premier s'est produit début mars lorsque le groupe de cybersécurité vietnamien VinCSS a remarqué une attaque de Mustang Panda. Mustang Panda est un autre groupe de piratage parrainé par l'État chinois.
Leur attaque était connue pour avoir distribué des e-mails avec un fichier RAR joint qui prétendait contenir un message du Premier ministre vietnamien sur le coronavirus. Plutôt que de contenir tout type de message important, le fichier RAR contenait un cheval de Troie de porte dérobée qui s'est installé sur les ordinateurs de la victime et les a ouverts au groupe de piratage.
Un panda vicieux attaque le gouvernement mongol
L'attaque de Vicious Panda a été repérée par Check Point, qui a déclaré qu'ils surveillaient le groupe car ils étaient ciblés par des organisations gouvernementales mongoles. Comme la première attaque, le groupe a affirmé avoir des informations vitales sur le coronavirus que les utilisateurs devraient télécharger pour y accéder.
Check Point a pu intercepter une cyberattaque d'un "groupe APT chinois sur une entité du secteur public de Mongolie". L'attaque a tiré parti des craintes du coronavirus pendant la phase d'ingénierie sociale. Il contenait deux documents. L'un des documents était lié au COVID-19 et tous deux prétendaient provenir du ministère mongol des Affaires étrangères. Les documents étaient accompagnés d'une menace malveillante unique qui permettait l'accès à distance aux ordinateurs de la victime.
Pièce jointe à un e-mail - Source : research.checkpoint.com
Le sommet de l'iceberg
Malheureusement, cette dernière attaque n'a rien de nouveau et ne représente que la pointe de l'iceberg proverbial. Les pirates ont toujours utilisé ce type de crises à leur avantage, il n'y avait donc aucun moyen de résister à l'envie de profiter de COVID-19.
Le dernier document APT chinois était, selon Check Point, intitulé « À propos de la propagation des nouvelles infections à coronavirus ». Il cite le Comité national de la santé de Chine pour paraître plus authentique et être plus efficace. Bien qu'il y ait eu un certain nombre de cybermenaces liées au COVID-19, il semble que ce soit la première menée par un groupe de piratage parrainé par un État contre un gouvernement étranger.
En plus d'être la dernière d'une série d'attaques de piratage liées au coronavirus, Check Point affirme que l'attaque n'est que la dernière d'une campagne en cours menée par des pirates chinois contre d'autres gouvernements et organisations. La différence est que celui-ci a exploité le coronavirus dans le cadre de la méthode de déploiement.
L'attaque a été décrite comme "l'exploitation de l'intérêt public pour le coronavirus pour le propre programme [de la Chine] via une nouvelle chaîne de cyber-infection". Ils disent que Vicious Panda cible des pays du monde entier, pas seulement la Mongolie. Ils exhortent toutes les entités du secteur public et les opérateurs de télécommunications à être en alerte face aux cybermenaces potentielles, en particulier tout ce qui prétend concerner le coronavirus.
L'e-mail et les documents prétendent provenir du propre gouvernement mongol. Au moins l'un d'entre eux prétendait provenir du ministère des Affaires étrangères. La campagne ciblait d'autres parties du secteur public mongol. Le but de la campagne semblait être de récupérer des informations et des captures d'écran sur les ordinateurs du gouvernement, de modifier et de supprimer des fichiers et de prendre le contrôle à distance de ces ordinateurs.
Comment fonctionne le rançongiciel Vicious Panda ?
La pièce jointe malveillante contient un cheval de Troie d'accès à distance (RAT) qui peut prendre le contrôle des ordinateurs. Le cheval de Troie est programmé pour avoir des connexions limitées au serveur de commande et de contrôle, ce qui peut le rendre plus difficile à détecter. La structure de la charge utile suggère qu'elle pourrait inclure d'autres modules dont l'installation est prévue ultérieurement dans le cadre d'une campagne plus large. D'après ce que Check Point peut dire, le logiciel malveillant utilisé dans l'attaque est une souche complètement unique et conçue sur mesure, mais son fonctionnement exact - et ce qu'il fait - est assez courant.
Chaînes vicieuses d'infection de panda - Source : research.checkpoint.com
Check Point a décomposé d'autres parties de la campagne, comme l'endroit où le centre de commandement et de contrôle était hébergé. En fin de compte, ce logiciel malveillant n'est rien de moins qu'une campagne parrainée par l'État. Il utilise l'ingénierie sociale pour encourager les utilisateurs à télécharger et à ouvrir une pièce jointe. La pièce jointe charge un autre fichier et installe une porte dérobée sur l'ordinateur. La Chine peut alors exploiter cette porte dérobée pour espionner des cibles gouvernementales.
Les cyberescrocs continueront de tirer parti de la Chine et du coronavirus
Bien que les panneaux de signalisation de niveau supérieur n'offrent pas suffisamment d'informations pour identifier exactement qui est derrière l'attaque, Check Point a fouillé dans le code du malware et a découvert qu'il était similaire au code utilisé dans d'autres malwares liés à la Chine. Ces campagnes visaient également les ennemis de la Chine.
La Chine - l'épicentre du coronavirus - utilise le virus à son avantage dans de nombreuses méthodes trompeuses. Il n'est pas surprenant qu'ils utilisent le coronavirus, car il s'agit actuellement du meilleur outil d'ingénierie sociale disponible pour les acteurs de la menace. Même les cybercriminels ordinaires en tirent parti dans leurs propres campagnes.
