Actus

Les pirates chinois LuoYu déploient des logiciels malveillants de cyberespionnage via des mises à jour d’applications

Par , le 3 juin 2022 - 4 minutes de lecture
Les pirates chinois LuoYu déploient des logiciels malveillants de cyberespionnage via des mises à jour d'applications
Notez l'article

Un groupe de piratage de langue chinoise connu sous le nom de LuoYu infecte les victimes du logiciel malveillant voleur d’informations WinDealer déployé en changeant les mises à jour d’applications légitimes avec des charges utiles malveillantes lors d’attaques de type “man-on-the-side”.

Pour ce faire, les acteurs de la menace surveillent activement le trafic réseau de leurs cibles pour les demandes de mise à jour d’applications liées à des applications asiatiques populaires telles que QQ, WeChat et WangWang et les remplacent par des installateurs WinDealer.

Une fois déployé, WinDealer aide les attaquants à rechercher et à siphonner de grandes quantités de données à partir de systèmes Windows compromis, à installer des portes dérobées pour maintenir la persistance, à manipuler des fichiers, à rechercher d’autres appareils sur le réseau et à exécuter des commandes arbitraires.

Au lieu d’utiliser les informations communes du serveur de commande et de contrôle (C2) codées en dur, WinDealer se connectera à une adresse IP aléatoire ChinaNet (AS4134) des provinces de Xizang et de Guizhou sur un pool de 48 000 adresses IP, selon des chercheurs en sécurité. chez Kaspersky qui a observé ce nouveau mode de livraison.

Étant donné qu’il est probablement impossible de contrôler l’intégralité de ces plages d’adresses IP, les explications sur la façon dont LuoYu est capable de cela incluent l’utilisation de routeurs compromis “sur la route vers (ou à l’intérieur) AS4134″, l’utilisation d’outils d’application de la loi au niveau du FAI, ou ” des méthodes de renseignement électromagnétique inconnues du grand public.

LuoYu est passé à l’abus du mécanisme de mise à jour automatique des applications de ses victimes après avoir poussé des logiciels malveillants dans des attaques plus faciles à réaliser où ils utilisaient des sites d’actualités locaux compromis comme vecteurs d’infection.

“Les attaques de l’homme sur le côté sont extrêmement destructrices, car la seule condition nécessaire pour attaquer un appareil est qu’il soit connecté à Internet. Même si l’attaque échoue la première fois, les attaquants peuvent répéter le processus encore et encore. jusqu’à ce qu’ils réussissent”, a expliqué Suguru Ishimaru, chercheur principal en sécurité chez Kaspersky.

« Quelle que soit la manière dont l’attaque a été menée, le seul moyen pour les victimes potentielles de se défendre est de rester extrêmement vigilant et de disposer de procédures de sécurité robustes, telles que des analyses antivirus régulières, une analyse du trafic réseau sortant et une journalisation étendue pour détecter les anomalies.

Ciblant les organisations coréennes et japonaises depuis au moins 2014, LuoYu est également connu pour attaquer les organisations diplomatiques étrangères en Chine, la communauté universitaire et les organisations de plusieurs secteurs industriels, y compris la défense et les télécommunications.

L’équipe mondiale de recherche et d’analyse de Kaspersky (GReAT) a également repéré des infections occasionnelles dans d’autres pays comme l’Allemagne, l’Autriche, les États-Unis, la République tchèque, la Russie et l’Inde.

Récemment, LuoYu a également commencé à rechercher des entreprises en Asie de l’Est et des succursales situées en Chine.

En plus de cibler les appareils Windows à l’aide de WinDealer, ce groupe de piratage moins connu a déjà été observé attaquant des appareils macOS, Linux et Android avec Demsty (ReverseWindow) et SpyDealer malware.

“LuoYu est un acteur de menace extrêmement sophistiqué capable de tirer parti des fonctionnalités disponibles uniquement pour les attaquants les plus matures. Nous ne pouvons que spéculer sur la manière dont ils ont pu développer de telles capacités”, a ajouté Ishimaru.

  • BALCANO - Jade chinois / Bracelet de perle minérale - Abat-jour en cristal argenté / Albâtre blanc / Cristal Sage - Size: 25 cm - unisex
    Bracelet original de perles minérales en jade chinois. Comme les perles de ce bracelet sont polies à partir de minéraux authentiques, il n'y aura jamais deux perles ou deux bracelets exactement identiques. À titre d'illustration, nous avons également photographié une plus grande quantité afin que vous puissiez voir la différence et imaginer à quoi ressemblera le bijou fini, enfilé pour vous sur un cordon en silicone élastique et très résistant.
  • VDO Poulie déphaseur d'arbre à cames (poulie-dephaseur-d-arbre-a-cames)
    Poulie déphaseur d'arbre à cames Vdo Info complémentaire : sans joint d'étanchéite ; Info complémentaire : Mise à jour de l'outil de commande/du logiciel nécesssasire ; Attention aux indications du constructeurs du véhicule : ; Référence de l'accessoire recommandé : VDO A2C59516961 ; Référence de l'accessoire recommandé : BMW 11 12 7 560 273 ; Comparer ancienne et nouvelle pièce (surtout n° OE) :
  • Maiori Lampe à poser extérieur Maiori LA LAMPE MINI POSE-Baladeuse Solaire Bluetooth d'Extérieur H28cm Beige
    Baladeuse solaire de la collection La Lampe Pose Mini éditée par Maiori, est composée d'une base carrée, d'un pied tubulaire en aluminium et d'un abat-jour cylindrique en Batyline. Cette lampe solaire et hybride peut être rechargé de deux manières : au soleil soit via un dock USB. Elle bénéficie d'une autonomie de 5h et peut être piloté à distance depuis votre téléphone mobile en installant l'application Maiori. Cette lampe à poser outdoor affiche des lignes épurées, la collection La Lampe Pose se décline en différentes finitions. Afin d'avoir plus de choix, ce produit est proposé en différents coloris. LED : 100 lumens (intégrées)
Avatar

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.