Support technique
Documentation
Connexion
Nous contacter
Le Group-IB découvre le complot de SideWinder APT visant à voler des crypto-monnaies.
Le 1er mars 2023 - L'équipe de relations publiques de TuxCare
Le Group-IB a récemment découvert une nouvelle campagne d'hameçonnage qui serait l'œuvre du célèbre groupe de pirates chinois sponsorisé par l'État, Sidewinder.
Ces attaques, qui ont débuté en janvier 2022 et se poursuivent encore, s'inscriraient dans le cadre d'une campagne de cyberespionnage plus vaste visant à dérober des données sensibles à des organismes militaires et gouvernementaux, ainsi qu'à des entreprises du secteur privé.
Ces attaques, qui ont débuté en janvier 2022 et se poursuivent à ce jour, s'inscriraient dans le cadre d'une vaste campagne de cyberespionnage visant à dérober des données sensibles à des organismes militaires et gouvernementaux, ainsi qu'à des entreprises du secteur privé. Les e-mails de phishing sont sophistiqués et personnalisés, incitant les victimes à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées.
Après avoir infecté l'ordinateur d'une victime, les attaquants peuvent accéder à des informations sensibles telles que des identifiants de connexion, des archives de messagerie et d'autres données confidentielles. Le groupe Sidewinder est actif depuis au moins 2012 et a été lié à diverses opérations d'espionnage, ciblant notamment des gouvernements étrangers, des entrepreneurs militaires et de défense, ainsi que des organisations de défense des droits de l'homme.
Selon les chercheurs, les attaquants ont tenté de voler les informations d'identification des utilisateurs en se faisant passer pour un largage de la crypto-monnaie NCASH. Selon eux, NCASH est utilisé comme méthode de paiement dans l'écosystème Nucleus Vision, que les magasins de détail en Inde ont utilisé. Les chercheurs ont découvert un lien de phishing lié à un largage de crypto-monnaie.
Les utilisateurs qui ont visité le lien (http://5[.]2[.]79[.]135/project/project/index.html) ont été invités à s'inscrire afin de participer à un largage et de recevoir des jetons, bien que ceux-ci n'aient pas été spécifiés. L'utilisateur active un script login.php en appuyant sur le bouton "Submit details", que les chercheurs pensent que le groupe utilise pour développer davantage ce vecteur d'attaque.
Le Group-IB a également découvert une foule d'outils spécifiques à SideWinder, dont seuls certains avaient été décrits publiquement auparavant, écrits dans divers langages de programmation tels que C++, C#, Go, Python (script compilé) et VBScript.
SideWinder, le tout nouvel outil personnalisé du groupe, fait partie de cet arsenal. StealerPy, un voleur d'informations basé sur Python qui a déjà été utilisé dans des attaques de phishing contre des organisations pakistanaises. Le script peut extraire l'historique de navigation Google Chrome d'une victime, les informations d'identification enregistrées, la liste des dossiers du répertoire, ainsi que les méta-informations et le contenu des fichiers .docx, .pdf et .txt. Cela fait partie de la réputation du groupe qui a réalisé "des centaines d'opérations d'espionnage en un court laps de temps".
Les courriels de phishing sont sophistiqués et personnalisés, incitant les victimes à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées. Après avoir infecté l'ordinateur d'une victime, les attaquants peuvent accéder à des informations sensibles telles que des identifiants de connexion, des archives de courrier électronique et d'autres données confidentielles.
Le groupe Sidewinder est actif depuis au moins 2012 et a été lié à diverses opérations d'espionnage, ciblant notamment des gouvernements étrangers, des entrepreneurs militaires et de défense, ainsi que des organisations de défense des droits de l'homme. Le groupe a également été lié à diverses campagnes de cyberespionnage en Asie du Sud-Est, notamment des attaques contre le Vietnam, les Philippines et le Cambodge.
Les résultats n'ont pas confirmé si les tentatives de SideWinder pour compromettre les victimes ont été couronnées de succès.
Les sources de cette pièce incluent un article dans DarkReading.
