Bulletins

Un Malware Waterbear utilisé dans une vague d’attaques contre Taiwan

bs1.jpg

Les services publics taiwanais ont récemment été touchés par une vague d’attaques informatiques en utilisant le malware Waterbear. Taiwan fait actuellement les frais d’une campagne de cyberattaques massive. D’après des chercheurs en cyber-sécurité, une campagne du virus Waterbear cible en ce moment l’administration taiwanaise.

Tout comme ceci a été indiqué par les chercheurs de CyCraft, les attaques ont eu lieu en Avril 2020, mais le groupe de pirates a exploité des logiciels malveillants existants déjà au niveau des serveurs compromis – à cause des précédentes attaques – pour le déploiement des logiciels malveillants.

Le virus Waterbear a préalablement été associé à BlackTech, un groupe de pirates qui attaque des sociétés activant dans le domaine de la technologie ainsi que des entités gouvernementales à Taiwan, au Japon et à Hong Kong.

L’an dernier, le malware Waterbear a attiré les experts en cybersécurité après avoir mis en place le hook API afin de dissimuler ses activités en abusant des produits de sécurité. Lors de la dernière vague qui a touché Taiwan, les chercheurs de CyCraft ont indiqué qu’une faille a été exploitée en ayant eu recours à un outil commun et fiable de prévention des pertes de données (DLP) pour charger Waterbear.

Les pirates ont été suivis lors de tentatives d’utilisation d’identifiants volés pour avoir accès à un réseau cible. Dans certains cas, les points d’extrémité étaient encore compromis par de précédentes attaques, ce qui a permis d’accéder au réseau interne de la victime et d’établir secrètement une connexion avec le serveur de commande et de contrôle (C2) du groupe.

Ensuite, une vulnérabilité de l’outil DLP a été utilisée pour réaliser un détournement de DLL. Comme l’intégrité des DLL que le logiciel chargeait n’ont pas pu être vérifiés, le fichier malveillant a été lancé avec un niveau de privilège élevé. Par la suite, ce DLL a injecté un shellcode dans différents services du système Windows, permettant au malware Waterbear de déployer des paquets malveillants supplémentaires.