Un APT Chinois Cible les Fournisseurs de 5G à Travers le Monde

L’équipe de l’Intelligence Stratégique de McAfee Advanced Threat Research (ATR) a découvert une opération de cyber-espionnage de longue durée ciblant les principaux fournisseurs de télécommunications dans le monde entier. Selon les chercheurs en sécurité, des hackers soutenus par l’État chinois ont implanté des logiciels malveillants dans les réseaux de plusieurs entreprises de télécommunications aux États-Unis, dans l’UE et en Asie du Sud-Est pour effectuer des reconnaissances et voler des informations secrètes liées à la technologie 5G. La campagne malveillante aurait été lancée au nom du gouvernement de Pékin en réponse à l’interdiction de la technologie chinoise dans les déploiements de la 5G à travers les régions ciblées.

Aperçu de l’Opération Dianxun

Une analyse approfondie des tactiques, techniques et procédures (TTP) lie la campagne à l’acteur APT chinois connu sous le nom de Mustang Panda ou RedDelta. Auparavant, ce collectif de hackers avait été aperçu attaquant des organisations catholiques, des ONG mongoles et des groupes de réflexion basés aux États-Unis. Cependant, en août 2020, le groupe s’est tourné vers des activités malveillantes liées à l’Opération Dianxun, ciblant des dizaines d’entreprises de télécommunications pour espionner leurs réseaux.

Le vecteur initial d’infection est actuellement inconnu, cependant, les experts de McAfee suggèrent que les attaquants redirigent les victimes vers un domaine de phishing qui délivre des logiciels malveillants à leurs systèmes. En particulier, les utilisateurs sont incités à visiter un faux site Web déguisé en page de carrière de l’entreprise Huawei. Cette page trompe les victimes en leur faisant télécharger une fausse application Flash, qui agit comme un chargeur et dépose un utilitaire DotNet sur la machine ciblée. L’outil DotNet permet d’obtenir la persistance, de réaliser des reconnaissances et de charger des portes dérobées de deuxième étape sur le réseau compromis. L’analyse approfondie révèle que dans la plupart des cas, DotNet livre un kit d’attaque Cobalt Strike sous la forme d’un fichier gzip base64. Les hackers chinois exploitent Cobalt Strike aux dernières étapes de l’intrusion pour se déplacer latéralement dans le réseau compromis et rechercher des données précieuses associées à la technologie 5G.

Les experts en sécurité notent que Huawei elle-même n’est en aucun cas connectée à cette opération malveillante, étant en fait victime des actions néfastes. En outre, les chercheurs pensent que la campagne est toujours en cours puisqu’ils ont récemment détecté des activités malveillantes basées sur les mêmes TTP.

Détection des attaques de l’Opération Dianxun

Pour détecter les attaques possibles associées à l’Opération Dianxun, notre développeur Threat Bounty attentif Emir Erdogan a publié une règle Sigma dédiée à la communauté :

https://tdm.socprime.com/tdm/info/LQ0ejPlvFevz/0xgrRXgBhYIRj3KqhBZW 

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR : Carbon Black, Microsoft Defender ATP

MITRE ATT&CK :

Tactiques : Exécution, Persistance, Escalade de Privilèges

Techniques : Tâche Planifiée (T1053)

Abonnez-vous à la Threat Detection Marketplace, la première plateforme SaaS de l’industrie qui agrège plus de 100 000 règles de détection et de réponse facilement convertibles en divers formats. Vous êtes enthousiaste à l’idée de créer votre propre contenu de détection et de contribuer aux initiatives mondiales de chasse aux menaces ? Rejoignez notre Threat Bounty Program et soyez récompensé pour votre contribution !