Illustration d'un pirate informatique en train de taper sur un ordinateur. Photo : iStock .
Selon un avertissement de la société de cybersécurité Elastic Security Labs, une campagne d'attaque de malware appelée SPECTRALVIPER cible des millions d'ordinateurs fonctionnant au Vietnam.
Les données montrent que la campagne d'attaque a été menée par REF2754, un code de référence qui correspond au groupe de pirates vietnamiens APT32, également connu sous le nom de Canvas Cyclone, Cobalt Kitty et OceanLotus.
Le représentant d'Elastic a déclaré que SPECTRALVIPER est une porte dérobée non divulguée sur l'architecture x64, utilisant des techniques de code obscurci avec la capacité d'injecter des données malveillantes dans le système.
Dans une infection détectée par Elastic, l'outil ProcDump a été exploité pour injecter un fichier DLL contenant DONUTLOADER qui a été installé pour injecter SPECTRALVIPER et d'autres logiciels malveillants dans le système tels que P8LOADER, POWERSEAL.
SPECTRALVIPER maintient une connexion à un serveur contrôlé par un pirate informatique. Une fois activé, le logiciel malveillant peut accéder à des données malveillantes, à des ressources sensibles et à des fichiers et dossiers modifiés sur le système.
P8LOADER est écrit en langage C++, capable de déclencher des paquets de données malveillants à partir de fichiers ou de la mémoire. Pendant ce temps, POWERSEAL peut exécuter des commandes dans PowerShell sans l’autorisation de l’utilisateur.
SPECTRALVIPER infecte les ordinateurs via la vulnérabilité SMB. Selon les statistiques de Bkav, 1 ordinateur sur 10 au Vietnam présente des vulnérabilités SMB, risquant d'être infectés par SPECTRALVIPER.
Diagramme de l'exécution du malware SPECTRALVIPER par les pirates. Photo : Laboratoires de sécurité élastiques.
« La vulnérabilité SMB a été exploitée par le virus WannaCry pour infecter plus de 300 000 ordinateurs dans le monde en quelques heures. En 2018, jusqu'à 735 000 ordinateurs au Vietnam ont été attaqués par le malware de minage de crypto-monnaie W32.CoinMiner utilisant le minage SMB.
« Malgré de nombreuses mises en garde, environ 10 % des ordinateurs au Vietnam présentent encore cette vulnérabilité », a déclaré M. Nguyen Tien Dat, directeur général du Centre de recherche sur les logiciels malveillants de Bkav.
Il est conseillé aux utilisateurs de mettre à jour les correctifs de sécurité de leurs ordinateurs dès que possible et de sauvegarder les données importantes pour éviter tout dommage.
Dans le même temps, les organisations et les entreprises doivent déployer des solutions de sécurité réseau telles que des pare-feu et des centres de surveillance (SOC), détectant immédiatement les anomalies pour y répondre et les gérer rapidement.
De plus, il est nécessaire de contacter des unités spécialisées en cybersécurité pour obtenir de l'aide dans la révision de l'ensemble du système, y compris les serveurs, les postes de travail et les plateformes cloud, afin de supprimer complètement les logiciels malveillants.
Source Zing
Lien source
Comment (0)