Détection du malware Merdoor : Lancefly APT utilise une porte dérobée furtive lors d’attaques prolongées contre des organisations en Asie du Sud et du Sud-Est

[post-views]
mai 17, 2023 · 6 min de lecture
Détection du malware Merdoor : Lancefly APT utilise une porte dérobée furtive lors d’attaques prolongées contre des organisations en Asie du Sud et du Sud-Est

Un nouveau collectif de hackers suivi sous le nom de Lacefly APT a récemment été observé utilisant un cheval de Troie personnalisée, Merdoor, pour attaquer des organisations dans les secteurs gouvernemental, des télécommunications et de l’aviation à travers l’Asie du Sud et du Sud-Est. Selon les derniers rapports, ces intrusions ciblées pointent vers une campagne d’adversaires de longue durée exploitant un échantillon de Merdoor, les premières traces remontant à 2018.

Détection du cheval de Troie Merdoor par Lancefly

Lancefly APT est un nouvel acteur sur le terrain qui a réussi à passer sous le radar pendant des années, ciblant secrètement des organisations avec un cheval de Troie Merdoor personnalisé. Pour aider les cyber-défenseurs à résister proactivement aux potentielles attaques, la plateforme de détection en tant que code de SOC Prime a agrégé une règle Sigma pertinente pour identifier les comportements suspects associés à Merdoor :

Comportements suspects de persistance du cheval de Troie MERDOOR par détection de suppression de registre .[via Registry_Event]

Cette règle de notre développeur de Threat Bounty perspicace Phyo Paing Htun est compatible avec 21 plateformes SIEM, EDR, XDR, et BDP et est mappée au cadre MITRE ATT&CK v12 abordant les tactiques d’évasion de défense avec la technique de modification du registre (T1112) comme technique correspondante.

Les chasseurs de menaces et les ingénieurs de détection qui cherchent à monétiser leurs compétences professionnelles tout en contribuant à un avenir plus sûr sont plus que bienvenus pour renforcer les rangs de la défense cybernétique collective en rejoignant le Programme Threat Bounty de SOC Prime. Soumettez vos propres règles Sigma, faites-les vérifier et publier sur notre marché de détection des menaces, et recevez des paiements récurrents pour votre précieuse contribution.

En raison de la menace croissante posée par les collectifs APT, les professionnels de la sécurité recherchent une source fiable de contenu de détection pour identifier à temps les cyberattaques associées. Appuyez sur le bouton Explorer les détections ci-dessous et accédez immédiatement à la collection complète de règles Sigma pour détecter les outils et techniques d’attaque associés aux groupes APT. Tous les algorithmes de détection sont accompagnés des références ATT&CK correspondantes, des liens d’intelligence de menaces, et d’autres métadonnées pertinentes.

Explorer les détections

Analyse du cheval de Troie Merdoor

Selon l’enquête de Symantec Threat Labs, une campagne d’adversaires qui a été active dans l’arène malveillante pendant un demi-decade est apparue au grand jour en mai 2023. Dans ces intrusions de longue durée, un nouveau collectif APT surnommé Lacefly utilise un cheval de Troie récent, Merdoor, ciblant les organisations dans plusieurs secteurs industriels en Asie. Les experts ont découvert que les auteurs de la menace ont également appliqué Merdoor dans leur trousse à outils en 2020 et 2021, ce qui montre des similitudes avec les cyberattaques les plus récentes.

Selon le rapport, les auteurs de la menace Lancefly se concentrent en grande partie sur l’activité de cyberespionnage, cherchant à collecter des renseignements auprès des utilisateurs compromis. Le malware Merdoor appliqué dans les campagnes sophistiquées est sous les feux des projecteurs depuis au moins 2018. Le malware est une archive auto-extractible capable de s’installer comme un service, d’effectuer des enregistrements de frappe, et d’utiliser un large éventail de méthodes pour la communication avec le serveur C2.

Dans les opérations malveillantes antérieures, les acteurs Lancefly ont profité du vecteur d’attaque par hameçonnage, alors que dans la dernière campagne, les vecteurs d’attaque initiaux pourraient être le SSH forcé ou un serveur exposé au public. De plus, dans les dernières attaques, les auteurs de la menace ont affiché des modèles de comportement similaires à leurs campagnes antérieures, utilisant un ensemble de techniques non-malware pour vider les informations d’identification des utilisateurs sur les systèmes ciblés, comme PowrShell et des versions déguisées d’outils légitimes.

L’infection courante par Merdoor commence par l’injection du cheval de Troie dans l’un des processus légitimes (perfhost.exe or svchost.exe), suivie de sa connexion au serveur C2. Ensuite, les attaquants exécutent des commandes pour l’injection de processus ou pour vider la mémoire LSASS, ce qui leur permet de voler les informations d’identification des utilisateurs et d’obtenir un accès étendu aux réseaux ciblés. Puis, les adversaires pourraient utiliser un gestionnaire d’archives WinRAR déguisé avant l’exfiltration de données. De plus, les acteurs Lancefly ont été repérés utilisant Blackloader et Prcloader, qui sont liés au tristement célèbre malwares PlugX. Dans la dernière campagne, le collectif de hackers a également exploité une version améliorée du rootkit ZXShell, qui est plus avancée que ses itérations précédentes étant plus petite et appliquant des techniques d’évasion de détection plus sophistiquées.

Les acteurs de la menace Lancefly pourraient être liés au groupe APT41 en raison du certificat rootkit ZXShell commun ; cependant, ce dernier, à l’instar d’autres acteurs de la menace soutenus par la Chine, est connu pour partager des certificats avec d’autres adversaires. De plus, Lancefly pourrait être affilié à l’activité des groupes APT chinois en raison de l’utilisation de PlugX et ShadowPad dans leurs campagnes, qui sont tous deux couramment utilisés dans la trousse à outils des acteurs soutenus par l’État chinois. Cependant, il n’y a pas encore suffisamment de preuves pour lier l’activité malveillante de Lancefly à l’une des collectifs de hackers notoires.

Avec l’augmentation des volumes d’attaques destructrices attribuées aux collectifs de hackers soutenus par les États, y compris les groupes APT chinois qui causent des ravages dans l’arène des menaces cybernétiques, les cyber-défenseurs recherchent des moyens d’optimiser leur posture de cybersécurité face au risque. Avec SOC Prime, plus de 900 règles Sigma pour les outils et les cyberattaques liés aux APT sont à portée de clic! Obtenez plus de 200 règles Sigma gratuitement ou obtenez l’ensemble complet de détection à la demande sur my.socprime.com/pricing.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow 6 min de lecture Dernières Menaces Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow by Daryna Olyniychuk Intelligence sur les menaces basée sur l’IA 18 min de lecture SIEM & EDR Intelligence sur les menaces basée sur l’IA by Veronika Telychko Détection des attaques d’APT41 : Les hackers chinois exploitent Google Calendar et déploient le malware TOUGHPROGRESS ciblant les agences gouvernementales 6 min de lecture Dernières Menaces Détection des attaques d’APT41 : Les hackers chinois exploitent Google Calendar et déploient le malware TOUGHPROGRESS ciblant les agences gouvernementales by Daryna Olyniychuk
Toutes les actualités