Alerte à la porte dérobée Zardoor : les acteurs de la menace ciblent une organisation caritative islamique
Dans les récentes renseignements sur les cybermenaces une organisation islamique à but non lucratif basée en Arabie saoudite a été victime d'une campagne de cyber-espionnage secrète utilisant une porte dérobée inconnue appelée Zardoor. Découvert par Cisco Talos en mai 2023la porte dérobée porte dérobée Zardoor persiste vraisemblablement depuis mars 2021, avec une seule cible identifiée à ce jour, ce qui laisse craindre des victimes potentielles non découvertes.
Zardoor Backdoor - Tactiques furtives et accès prolongé
Les chercheurs en sécurité Jungsoo An, Wayne Lee et Vanja Svajcer ont fait la lumière sur les tactiques de l'acteur de la menace, en mettant l'accent sur l'utilisation de binaires "living-off-the-land" (LoLBins) pour déployer des portes dérobées, établir des systèmes de commandement et de contrôle (C2). commande et contrôle (C2)et maintenir un accès prolongé sans éveiller les soupçons. Cela suscite des inquiétudes quant à la nature sophistiquée de ces attaques ciblées et la capacité de l'acteur de la menace à rester indétecté pendant une période prolongée.
Détails de l'intrusion de Zardoor Backdoor
L'intrusion cybernétique dans l'organisation caritative islamique impliquait l'exfiltration périodique de données, environ deux fois par mois. Bien que la méthode d'accès initiale exacte reste inconnue, les attaquants ont stratégiquement utilisé Zardoor pour la persistance, en employant des outils de proxy inverse open-source tels que Fast Reverse Proxy (FRP), sSocks, et Venom pour établir des connexions de commande et de contrôle. Les menaces persistantes avancées (APT) posent des défis importants aux professionnels de la cybersécurité en raison de leur nature furtive et prolongée.
Mouvement latéral et déploiement d'outils
Une fois les connexions établies, l'acteur de la menace a utilisé l'instrumentation de gestion Windows (WMI) pour se déplacer latéralement dans l'environnement compromis. Les chercheurs ont constaté le déploiement de Zardoor, ainsi que d'autres outils, par le biais de processus créés sur le système cible, exécutant des commandes reçues du C2. Cette méthode a permis à l'attaquant de naviguer dans le réseau tout en évitant la détection des logiciels malveillants.
Voie d'infection et modules de porte dérobée
La voie d'infection implique un composant dropper déployant une bibliothèque de liens dynamiques malveillante ("oci.dll"), responsable de la livraison de deux modules de porte dérobée, à savoir "zar32.dll et "zor32.dll". Le premier sert de porte dérobée centrale pour les communications de commande et de contrôle, tandis que le second assure le déploiement de "zar32.dll" avec des privilèges d'administrateur. Les capacités de Zardoor comprennent l'exfiltration de données, l'exécution à distance d'exécutables et de shellcodes récupérés, la mise à jour des adresses IP C2 et l'autodestruction de l'hôte.
Défis en matière d'attribution
Les origines de l'acteur de la menace restent insaisissables et ne présentent aucun chevauchement tactique avec des acteurs de la menace connus et signalés publiquement. Malgré cela, la campagne est considérée comme étant l'œuvre d'un "acteur de menace avancée". "acteur de menace avancé". soulignant la sophistication et l'expertise de l'opération.
Techniques de persistance secrète
Pour maintenir la persistance, l'acteur de la menace a utilisé des proxys inversés enregistrés en tant que tâches planifiées et a établi une redirection de port à distance à l'aide de SSH. Cette approche ingénieuse a permis d'établir une connexion secrète et régulière au réseau compromis, permettant l'exfiltration de données environ deux fois par mois.
Le niveau de sophistication démontré dans la conception de nouveaux outils, l'adaptation d'outils existants et l'utilisation de binaires Windows légitimes souligne la compétence de l'acteur de la menace non identifié. La sécurité du secteur caritatif est une préoccupation essentielle pour la sauvegarde des données sensibles et le maintien de la confiance avec les donateurs et les bénéficiaires.
Le paysage numérique Avertissement
Alors que notre monde devient de plus en plus interconnecté, le cyberespionnage comme Zardoor nous rappellent brutalement les dangers cachés du monde numérique. Cette histoire de furtivité et de subterfuge souligne le besoin critique de vigilance et de mesures de cybersécurité robustes dans le paysage en évolution rapide d'aujourd'hui.
Conclusion
La campagne de cyber-espionnage Zardoor visant une organisation caritative islamique met en évidence l'évolution des tactiques des acteurs de la menace avancée à l'ère numérique. Il est important que les utilisateurs soient prudents lorsqu'ils téléchargent des fichiers provenant de sources non fiables, car ils peuvent contenir des logiciels malveillants.
Alors que les organisations s'efforcent de protéger leurs données sensibles, il devient impératif de comprendre ces techniques sophistiquées et de s'y adapter. L'analyse des tendances en matière de cyberattaques est essentielle pour garder une longueur d'avance sur l'évolution des menaces dans le paysage numérique d'aujourd'hui. L'histoire de Zardoor est un appel à l'action, exhortant à un effort collectif pour renforcer les défenses de cybersécurité et garder une longueur d'avance sur les menaces de cybersécurité dans l'ombre numérique.
Les sources de cet article comprennent des articles dans The Hacker News et BNN.