Un cybercriminel chinois connu recycle d’anciens logiciels malveillants (s’ouvre dans un nouvel onglet)dans le but d’échapper à la détection, de réduire les coûts et d’envoyer les chercheurs à la poursuite de l’oie sauvage.
Un rapport de Symantec indique que le groupe, connu sous le nom de Webworm, a utilisé au moins trois anciennes variantes de logiciels malveillants (et par « anciennes », nous entendons de 2008 à 2017), les a légèrement modifiées, puis les a testées contre des fournisseurs de services informatiques. en Asie pour voir comment ils fonctionnent.
Vu l’ancienneté des malwares, ils arrivent parfois à voler sous antivirus (s’ouvre dans un nouvel onglet) radars des solutions, ont-ils ajouté.
RAT furtifs
Le premier s’appelle Trochilus RAT, en circulation depuis au moins 2015, et disponible gratuitement sur GitHub.
Il a été découvert pour la première fois en train d’attaquer des personnes visitant un site Web du Myanmar. Webworm l’a modifié pour qu’il puisse charger sa configuration à partir d’un fichier en enregistrant un ensemble de répertoires codés en dur. Il a également été dit qu’il avait la capacité de se déplacer latéralement entre les terminaux (s’ouvre dans un nouvel onglet) dans le réseau cible, pour un meilleur accès. Le second est 9002 RAT, un cheval de Troie furtif d’accès à distance qui a maintenant un meilleur cryptage pour son protocole de communication, ce qui le rend encore plus difficile à détecter.
Enfin, le troisième s’appelle Gh0st RAT, un cheval de Troie vieux de 14 ans qui vient maintenant avec « plusieurs couches d’obscurcissement, contournement UAC, décompression de shellcode et lancement en mémoire ».
Bien qu’il soit difficile de savoir exactement quel acteur menaçant est à l’origine de la renaissance de Webworm, Symantec semble croire qu’il s’agit du même groupe que Space Pirates – un acteur menaçant chinois découvert par Positive Technologies en mai de cette année. À l’époque, Positive Technologies a analysé Gh0st RAT et l’a nommé Deed RAT.
Dans tous les cas, Webworm est un groupe cybercriminel connu qui opère depuis au moins 2017. Dans le passé, le groupe a été lié à diverses attaques contre des entreprises informatiques, des organisations aérospatiales, ainsi que des fournisseurs d’énergie électrique en Russie, en Géorgie et en Russie. Mongolie.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)