Une campagne de cyberespionnage avancée attribuée au groupe cybercriminel chinois Earth Krahang a porté atteinte à la sécurité de 70 organisations dans le monde, y compris des ministères des affaires étrangères et d’autres agences gouvernementales, en déployant un arsenal sophistiqué d’outils pour compromettre des infrastructures clés et récolter des informations sensibles.

Source: redhotcyber.com

Ce groupe a utilisé des techniques avancées telles que l’exploitation de vulnérabilités dans des serveurs exposés à Internet, des emails de spear-phishing et des attaques par force brute pour installer des portes dérobées personnalisées et mener des activités de cyber-espionnage.

Les attaquants ont spécifiquement exploité des vulnérabilités telles que CVE-2023-32315 et CVE-2022-21587 pour accéder à des réseaux compromis et y persister. En outre, ils ont utilisé des emails de spear-phishing à thème géopolitique pour inciter les destinataires à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens, ce qui facilite l’installation de logiciels malveillants et l’extraction ultérieure d’informations.

Une fois dans le réseau, Earth Krahang a utilisé des infrastructures compromises pour héberger des charges utiles malveillantes, rediriger le trafic d’attaque et utiliser des comptes de messagerie gouvernementaux piratés pour cibler d’autres gouvernements ou contacts avec des courriels de spear-phishing. Dans un cas notoire, ils ont utilisé un compte de courrier électronique compromis d’une entité gouvernementale pour envoyer une pièce jointe malveillante à 796 adresses électroniques appartenant à la même entité.

Chaîne d’infection d’une attaque de spear-phishing de Earth Krahang (voir la section ATT&CK de MITRE pour plus de détails sur chaque identifiant de technique).
Source: trendmicro.com

Compte tenu de la sophistication et de l’ampleur de la campagne Earth Krahang, il est vivement conseillé aux organisations gouvernementales et aux autres entités cibles potentielles de rester vigilantes face à toute activité suspecte sur leurs systèmes. Dans ce contexte, la mise en œuvre des mises à jour de sécurité en temps opportun devient un pilier essentiel. En outre, la sensibilisation des employés aux risques inhérents à l’ingénierie sociale et aux attaques de spear-phishing, associée à l’adoption de mesures d’authentification multifactorielle, sont des stratégies clés pour atténuer le risque de compromission.

Dans ce scénario, la collaboration avec des partenaires de confiance spécialisés dans la protection contre les cybermenaces peut fournir une couche de sécurité supplémentaire. Des entreprises comme Swisscom, qui ont fait leurs preuves en matière de détection et de réponse aux menaces numériques, proposent des solutions qui peuvent être cruciales pour anticiper, identifier et neutraliser les attaques avant qu’elles n’affectent les opérations critiques. L’utilisation de leurs services de protection contre les cybermenaces n’est pas seulement une mesure proactive, mais aussi un investissement dans la continuité et la résilience des opérations face à l’adversité dans le cyberespace.

Plus d’information:
https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html
https://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/
https://nvd.nist.gov/vuln/detail/CVE-2023-32315