Une nouvelle famille de logiciels malveillants utilise un protocole UDP personnalisé pour les communications C & C

Les chercheurs en sécurité ont découvert une nouvelle campagne de cyberespionnage très ciblée, qui serait associée à un groupe de piratage derrière le cheval de Troie de porte dérobée KHRAT et ciblerait des organisations en Asie du Sud-Est.

Selon des chercheurs de Palo Alto , le groupe de piratage, qu’ils ont baptisé RANCOR, a été découvert en utilisant deux nouvelles familles de logiciels malveillants - PLAINTEE et DDKONG - pour cibler des entités politiques principalement à Singapour et au Cambodge.

Cependant, au cours des années précédentes, les acteurs de la menace derrière KHRAT Trojan auraient été liés à un groupe de cyber espionnage chinois, connu sous le nom de DragonOK.

Tout en surveillant l’infrastructure C & C associée au trojan KHRAT, les chercheurs ont identifié plusieurs variantes de ces deux familles de logiciels malveillants, où PLAINTEE apparaît comme la dernière arme de l’arsenal du groupe utilisant un protocole UDP personnalisé pour communiquer avec son serveur de commande et de contrôle distant.

Pour fournir à la fois PLAINTEE et DDKONG, les pirates utilisent des messages de spear phishing avec différents vecteurs d’infection, y compris des macros malveillantes dans le fichier Microsoft Office Excel, HTA Loader et DLL Loader, qui incluent des fichiers de leurre.

"Ces leurres contiennent des informations provenant d’articles de presse principalement axés sur les nouvelles et les événements politiques", expliquent les chercheurs. "En outre, ces documents leurres sont hébergés sur des sites Web légitimes, y compris un site Web gouvernemental appartenant au gouvernement du Cambodge et dans au moins une fois, Facebook."

En outre, PLAINTEE télécharge et installe des plugins supplémentaires à partir de son serveur C & C en utilisant le même protocole UDP personnalisé qui transmet les données sous forme codée.

"Ces familles ont utilisé une communication réseau personnalisée pour charger et exécuter divers plugins hébergés par les attaquants", affirment les chercheurs.

« L’utilisation d’un protocole UDP personnalisé par les logiciels malveillants PLAINTEE est particulièrement rare et mérite d’être prise en compte lors de la création de détections heuristiques pour les logiciels malveillants inconnus ».

D’autre part, DDKONG est utilisé par le groupe de piratage depuis février 2017 et n’a pas de protocole de communication personnalisé comme PLAINTEE, bien qu’il ne soit pas clair si un acteur de la menace ou plus utilise uniquement ce malware.

Selon les chercheurs, la charge utile finale des deux familles de logiciels malveillants suggère que l’objectif des deux logiciels malveillants est de mener le cyberespionnage sur leurs cibles politiques ; au lieu de voler l’argent de leurs cibles.

Comme le groupe RANCOR cible principalement les utilisateurs non avertis, il est toujours conseillé de se méfier de tout document non invité envoyé par e-mail et de ne jamais cliquer sur les liens à l’intérieur de ces documents, sauf si la source est correctement vérifiée.

De plus, surtout, utilisez un logiciel antivirus basé sur le comportement qui peut détecter et bloquer ces logiciels malveillants avant qu’ils ne puissent infecter votre appareil, et le maintenir à jour ainsi que d’autres applications.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image