Les chercheurs en cybersécurité ont repéré de nouveaux acteurs menaçants ciblant les entreprises gouvernementales, aéronautiques, éducatives et de télécommunications.
Un rapport (s’ouvre dans un nouvel onglet) de Symantec a décrit un groupe qu’ils ont surnommé Lancefly qui a été repéré en utilisant un logiciel malveillant personnalisé pour cibler les organisations susmentionnées. Lancefly utilise un voleur d’informations personnalisé appelé Merdoor qui, selon les chercheurs, circule depuis au moins 2018. Les chercheurs l’ont repéré dans certaines campagnes en 2020 et 2021, mais pour cette campagne spécifique, le malware est utilisé depuis la mi- 2022 et se poursuit en 2023.
Les experts de Symantec affirment que les attaquants ne ratissent pas large avec Merdoor, mais sont plutôt pointilleux avec leurs cibles. « Seul un petit nombre de machines [are] infectés », ont-ils déclaré.
Le logiciel malveillant Merdoor
Merdoor est livré avec un certain nombre de fonctions, notamment l’installation en tant que service, l’enregistrement des frappes, différents moyens de communication avec le serveur C2 (HTTP, HTTPS, DNS, etc.) et la possibilité d’écouter les commandes sur un port local.
Alors que les preuves des campagnes précédentes suggèrent que Lancefly utilise des techniques de phishing classiques pour distribuer la porte dérobée aux terminaux (s’ouvre dans un nouvel onglet), pour cette campagne spécifique, le vecteur d’infection n’était pas clair, ont déclaré les chercheurs. Dans un cas, les attaquants semblent avoir utilisé la force brute SSH. Dans un autre cas, un équilibreur de charge peut avoir été exploité pour l’accès.
« Bien que les preuves de l’un de ces vecteurs d’infection ne soient pas définitives, elles semblent indiquer que Lancefly est adaptable en ce qui concerne le type de vecteurs d’infection qu’il utilise », ont conclu les chercheurs.
L’identité du groupe reste un mystère, bien que les chercheurs aient suggéré qu’ils pourraient être chinois. Dans ses campagnes, Lancefly utilise le rootkit ZXSHell, qui est signé par le certificat « Wemade Entertainment Co. Ltd ». Ce certificat est lié à Blackfly (AKA APT41), un acteur menaçant chinois. Cependant, ce groupe est connu pour partager ses certificats avec d’autres acteurs de la menace.
Quelle que soit l’origine du groupe, une chose est certaine : le but de sa campagne est l’espionnage et la collecte de renseignements.