Support technique
Documentation
Connexion
Nous contacter
Les pirates de Budworm ciblent les organisations américaines avec de nouvelles attaques d'espionnage
28 octobre 2022 - L'équipe de relations publiques de TuxCare
Le célèbre groupe de cyberespionnage Budworm a lancé des attaques délibérées contre un certain nombre de cibles de premier plan, notamment une assemblée législative d'un État américain, un pays du Moyen-Orient et une multinationale de l'électronique.
L'attaque contre les assemblées législatives américaines anonymes est la première fois depuis plusieurs années que Budworm cible une entité basée aux États-Unis.
Selon l'équipe Symantec Threat Hunter, le gang Budworm a exploité les vulnérabilités Log4j (CVE-2021-44228 et CVE-2021-45105). Les failles exploitées ont été utilisées pour compromettre le service Apache Tomcat sur les serveurs afin d'installer des shells web. Les attaquants ont utilisé des serveurs privés virtuels (VPS) hébergés sur Vultr et Telstra comme serveurs de commande et de contrôle (C&C).
"La principale charge utile de Budworm reste la famille de logiciels malveillants HyperBro, qui est souvent chargée à l'aide d'une technique connue sous le nom de chargement latéral de bibliothèque de liaison dynamique (DLL). Les attaquants placent une DLL malveillante dans un répertoire où l'on s'attend à trouver une DLL légitime. L'attaquant exécute ensuite l'application légitime (qu'il a lui-même installée). L'application légitime charge alors et exécute la charge utile", révèle le rapport.
Pour les attaques les plus récentes, Budworm a utilisé le logiciel de gestion des privilèges des points de terminaison CyberArk Viewfinity pour effectuer un chargement latéral. Le binaire porte le nom par défaut vf_host.exe et est généralement laissé derrière par les attaquants pour se déguiser en un fichier plus inoffensif.
Bien que les attaquants utilisent le cheval de Troie PlugX/Korplug comme charge utile, les autres outils utilisés lors des attaques comprennent Cobalt Strike, LaZagne, IOX, Fast Reverse Proxy (FRP) et Fscan.
Cobalt Strike est un outil standard utilisé pour charger un shellcode sur les machines des victimes. Bien qu'il s'agisse d'un outil de test de pénétration légitime, il peut être exploité par des acteurs menaçants. LaZagne est un outil de déchargement d'informations d'identification accessible au public. IOX est un outil de proxy et de transfert de port accessible au public. Fast Reverse Proxy (FRP) est un outil de proxy inverse, tandis que Fscan est un outil d'analyse d'intranet accessible au public.
Des mesures de sécurité adéquates sont essentielles pour atténuer les attaques. Les organisations doivent utiliser le dernier correctif et l'installer sur leurs serveurs. Il est également important que les organisations effectuent des pen tests périodiques pour détecter les vulnérabilités exploitables dans leur organisation, car cela peut permettre aux attaquants d'avoir un accès initial à toute organisation.
Les sources de cet article comprennent un article de TheHackerNews.
