APT Camaro Dragon ciblerait des organismes européens du secteur de la santé avec des clés USB

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .

Les chercheurs de Check Point Research auraient observé une recrudescence de nouvelles versions d’un malware associé au mode opératoire APT Camaro Dragon, se propageant par le biais de supports USB et ciblant un organisme du secteur de la santé en Europe, mais aussi d’autres entités au Myanmar, en Corée du Sud, en Inde et en Russie.

Une enquête de réponse à incident effectuée par les chercheurs de Check Point Research pour un organisme du secteur de la santé en Europe aurait permis d’identifier une vaste campagne d’espionnage mené par le mode opératoire APT Camaro Dragon. Le malware exploité lors de cette campagne se diffuserait via un launcher Delphi stocké sur la clé USB infectée.

Pour améliorer ses capacités d’évasion, le malware utiliserait des techniques de side-loading de DLL, en s’appuyant sur des composants de logiciels de sécurité. Cette approche permettrait au mode opératoire d’établir de nouvelles backdoors sur les machines compromises tout en infectant les lecteurs amovibles nouvellement connectés.

D’autres entités au Myanmar, en Corée du Sud, en Inde et en Russie auraient été ciblées par ce mode opératoire. Les chercheurs de Check Point Research auraient notamment observé un autre launcher référencé HopperTick, exploité pour diffuser la payload WispRider. Cette payload disposerait de mécanisme de contournement spécialement conçu pour échapper au logiciel antivirus SmadAV, très répandu en Asie du Sud-Est.

Camaro Dragon avait déjà été observé au début du mois de mars 2023, ciblant des organisations gouvernementales et politiques à travers l’Asie et l’Europe via l’exploitation de la backdoor MQsTTang [1].

Indicateurs de compromission

file:aeacc2d47a88eb68d503f9e30b189641572eb35423df931845f90a4c447ed1be
file:fc598a686a5a77436684cbd0f72f39033cb70a41d4dbcf5dbab47a7c2522fdda
file:68eb5590d8ad952215cf54741b0ed6204c19bba4dcb8d704883e007f16de5028
file:6c4226aa2f8bb646f753ffd282cf4624f6bc8e5ca8a2cb2373f640a2a29cdd95
file:7d8b568746a643aa0470b14f271f681dd3b09dbc08c893b191d1d6607b86c501
file:3738e414f43d3b213cf7475a8bb616a3379c09e90c0ba5c6ac0e398d2967ca95
file:7752fc0c747149d45deeec1023fef8ca73f83a154643531ae9db9cb89b6ce1dc
file:464888b81e4d67aad73b245efa6442fecf8221abe3ec74d4cd180e4beedaddc6
file:0279a0a3effc688097eb14d4bd6f1ab8be86f880d01952af7e2b55c51cf107b1
file:5c878a05fb54c6d06ca4f66d28906d17a423b1305b6aa9bde19df8e8b3e91c5c
file:491d9f6f4e754a430a29ac6842ee12c43615e33b0e720c61e3f06636559813f7
file:ce1615ec67296edd05d9dc9a6a075a4724553fca5398c425372b85170aec2106

Références

CERT-XMCO

Découvrir d'autres articles