Campagne d’espionnage économique par TA413

[post-views]
septembre 07, 2020 · 2 min de lecture
Campagne d’espionnage économique par TA413

L’utilisation de leurres liés au COVID19 est déjà perçue comme une pratique courante tant pour les groupes à motivation financière que pour les unités de cyber-espionnage parrainées par l’État. Les chercheurs ont publié un rapport la semaine dernière sur un autre groupe qui utilise des e-mails de phishing à thème COVID19 depuis six mois pour livrer leur nouvel outil. Oui, nous parlons du groupe APT chinois connu sous le nom de TA413, spécialisé dans les campagnes d’espionnage économique ciblant les organisations de recherche en politique à but non lucratif, les corps diplomatiques et législatifs européens, et les organisations mondiales traitant des affaires économiques.

Les adversaires utilisent un malware sur mesure appelé Sepulcher, et jusqu’à présent, c’est le seul acteur de la menace qui l’utilise, mais étant donné la pratique répandue parmi les groupes chinois de partager leurs outils, après la publication du rapport, ce malware pourrait également apparaître dans l’arsenal d’autres groupes APT. Sepulcher est un cheval de Troie d’accès à distance capable de mener des reconnaissances : obtenir des informations sur les lecteurs, les informations sur les fichiers, les statistiques des répertoires, les chemins des répertoires, le contenu des répertoires, les processus et services en cours d’exécution. Il peut également créer des répertoires, supprimer des répertoires et des fichiers, lancer un shell pour exécuter des commandes, terminer un processus, et plus encore.

La règle de chasse aux menaces publiée par Osman Demir détecte les activités malicieuses de TA413 et le malware Sepulcher utilisé par le groupe dans les campagnes de cyber-espionnage :

https://tdm.socprime.com/tdm/info/WE9tcCoWqy2c/NE07U3QBQAH5UgbBBk2p/?p=1

 

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Accès initial, Persistance, Escalade de privilèges

Techniques : Nouveau service (Е1050), Pièce jointe hameçonnage ciblé (T1193)


Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

 

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Telychko
Toutes les actualités