Blog de nuage RSS
Suivre
Tromperie en profondeur : la campagne d'espionnage PRC-Nexus détournement du trafic web pour cibler les diplomates
Le groupe d'intelligence sur les menaces de Google a identifié une campagne d'espionnage cybernétique complexe menée par l'acteur UNC6384 lié à la République populaire de Chine, ciblant des diplomates du Sud-Est asiatique. Cette campagne utilise une hijack de portail captif pour rediriger les utilisateurs vers un site web malveillant. Un téléchargeur numériquement signé, STATICPLUGIN, est ensuite livré pour initier l'attaque. L'objectif ultime est le déploiement en mémoire vive de la porte dérobée SOGU.SEC, également connue sous le nom de PlugX. La chaîne d'attaque emploie une ingénierie sociale avancée, notamment des certificats de signature de code valides et des techniques d'adversaire dans le milieu. Google protège activement les utilisateurs en avertissant les individus touchés et en renforçant les mesures de sécurité. Ils ont également ajouté les ressources malveillantes identifiées à la liste de navigation sécurisée de Google. Les charges utiles malveillantes sont déguisées en mises à jour de logiciels ou de plug-ins pour tromper les cibles. La campagne utilise une hijack de portail captif, se faisant passer pour une mise à jour de plug-in Adobe, pour livrer le malware initial. La page d'atterrissage imite les sites de mises à jour de logiciels légitimes et utilise HTTPS avec un certificat TLS valide pour accroître la crédibilité. Google conseille aux utilisateurs d'activer la navigation sécurisée améliorée, de maintenir leurs appareils à jour et d'utiliser la vérification en deux étapes.