Les pirates chinois LuoYu déploient des logiciels malveillants de cyberespionnage via des mises à jour d’applications

Un groupe de piratage de langue chinoise connu sous le nom de LuoYu infecte les victimes du logiciel malveillant voleur d’informations WinDealer déployé en changeant les mises à jour d’applications légitimes avec des charges utiles malveillantes lors d’attaques de type “man-on-the-side”.

Pour ce faire, les acteurs de la menace surveillent activement le trafic réseau de leurs cibles pour les demandes de mise à jour d’applications liées à des applications asiatiques populaires telles que QQ, WeChat et WangWang et les remplacent par des installateurs WinDealer.

Une fois déployé, WinDealer aide les attaquants à rechercher et à siphonner de grandes quantités de données à partir de systèmes Windows compromis, à installer des portes dérobées pour maintenir la persistance, à manipuler des fichiers, à rechercher d’autres appareils sur le réseau et à exécuter des commandes arbitraires.

Au lieu d’utiliser les informations communes du serveur de commande et de contrôle (C2) codées en dur, WinDealer se connectera à une adresse IP aléatoire ChinaNet (AS4134) des provinces de Xizang et de Guizhou sur un pool de 48 000 adresses IP, selon des chercheurs en sécurité. chez Kaspersky qui a observé ce nouveau mode de livraison.

Étant donné qu’il est probablement impossible de contrôler l’intégralité de ces plages d’adresses IP, les explications sur la façon dont LuoYu est capable de cela incluent l’utilisation de routeurs compromis “sur la route vers (ou à l’intérieur) AS4134″, l’utilisation d’outils d’application de la loi au niveau du FAI, ou ” des méthodes de renseignement électromagnétique inconnues du grand public.

LuoYu est passé à l’abus du mécanisme de mise à jour automatique des applications de ses victimes après avoir poussé des logiciels malveillants dans des attaques plus faciles à réaliser où ils utilisaient des sites d’actualités locaux compromis comme vecteurs d’infection.

“Les attaques de l’homme sur le côté sont extrêmement destructrices, car la seule condition nécessaire pour attaquer un appareil est qu’il soit connecté à Internet. Même si l’attaque échoue la première fois, les attaquants peuvent répéter le processus encore et encore. jusqu’à ce qu’ils réussissent”, a expliqué Suguru Ishimaru, chercheur principal en sécurité chez Kaspersky.

« Quelle que soit la manière dont l’attaque a été menée, le seul moyen pour les victimes potentielles de se défendre est de rester extrêmement vigilant et de disposer de procédures de sécurité robustes, telles que des analyses antivirus régulières, une analyse du trafic réseau sortant et une journalisation étendue pour détecter les anomalies.

Ciblant les organisations coréennes et japonaises depuis au moins 2014, LuoYu est également connu pour attaquer les organisations diplomatiques étrangères en Chine, la communauté universitaire et les organisations de plusieurs secteurs industriels, y compris la défense et les télécommunications.

L’équipe mondiale de recherche et d’analyse de Kaspersky (GReAT) a également repéré des infections occasionnelles dans d’autres pays comme l’Allemagne, l’Autriche, les États-Unis, la République tchèque, la Russie et l’Inde.

Récemment, LuoYu a également commencé à rechercher des entreprises en Asie de l’Est et des succursales situées en Chine.

En plus de cibler les appareils Windows à l’aide de WinDealer, ce groupe de piratage moins connu a déjà été observé attaquant des appareils macOS, Linux et Android avec Demsty (ReverseWindow) et SpyDealer malware.

“LuoYu est un acteur de menace extrêmement sophistiqué capable de tirer parti des fonctionnalités disponibles uniquement pour les attaquants les plus matures. Nous ne pouvons que spéculer sur la manière dont ils ont pu développer de telles capacités”, a ajouté Ishimaru.