China-Aligned Threat Group Uses Windows Group Policy to Deploy Espionage Malware

Le Groupe LongNosedGoblin S’Appuie sur les Politiques de Groupe pour l’Espionnage Cybernétique

Un groupe de menace aligné sur la Chine, baptisé LongNosedGoblin, a été identifié comme étant à l’origine de cyberattaques visant des entités gouvernementales en Asie du Sud-Est et au Japon. L’objectif principal de ces attaques est l’espionnage cybernétique. Ce groupe est actif depuis au moins septembre 2023.

LongNosedGoblin exploite les Politiques de Groupe (Group Policy) de Windows pour déployer des malwares sur les réseaux compromis. Ils utilisent également des services cloud tels que Microsoft OneDrive et Google Drive comme serveurs de commande et de contrôle (C&C).

Points Clés :

• Cible : Entités gouvernementales en Asie du Sud-Est et au Japon.
• Objectif : Espionnage cybernétique.
• Méthode d’exécution : Utilisation des Politiques de Groupe pour le déploiement de malwares.
• Infrastructure C&C : Services cloud (Microsoft OneDrive, Google Drive, Yandex Disk).
• Activité : Identifiée depuis septembre 2023, avec une première détection en février 2024.
• Attribution : Groupe de menace aligné sur la Chine, potentiellement partageant des malwares avec d’autres groupes.

Outils et Malwares Utilisés :

Le groupe utilise une panoplie d’outils personnalisés, principalement des applications C#/.NET :

• NosyHistorian : Collecte l’historique de navigation des navigateurs Chrome, Edge et Firefox.
• NosyDoor : Une backdoor utilisant OneDrive pour le C&C, permettant l’exfiltration de fichiers, la suppression et l’exécution de commandes shell.
• NosyStealer : Exfiltre des données de navigateur vers Google Drive sous forme d’archive TAR chiffrée.
• NosyDownloader : Télécharge et exécute des charges utiles en mémoire, comme NosyLogger.
• NosyLogger : Une version modifiée de DuckSharp pour l’enregistrement des frappes clavier.
• Autres outils : Proxy SOCKS5 inverse, utilitaire d’enregistrement audio/vidéo, chargeur Cobalt Strike.

Vulnérabilités :

L’article ne mentionne pas de vulnérabilités spécifiques avec des identifiants CVE. Cependant, la technique d’exploitation des Politiques de Groupe et l’utilisation de l’injection AppDomainManager pour déployer des backdoors impliquent des faiblesses dans la gestion et la configuration des environnements Windows.

Recommandations :

Bien que l’article ne détaille pas de recommandations spécifiques, les éléments suivants peuvent être déduits :

• Surveillance et sécurisation des Politiques de Groupe : Auditer et renforcer la configuration des Politiques de Groupe pour empêcher leur utilisation abusive par des acteurs malveillants.
• Gestion rigoureuse des accès aux services cloud : Mettre en place des contrôles d’accès stricts pour les services comme OneDrive et Google Drive afin d’empêcher leur détournement en tant qu’infrastructure C&C.
• Détection des menaces avancées : Utiliser des solutions de sécurité capables de détecter les comportements malveillants et les outils personnalisés utilisés par LongNosedGoblin.
• Analyse des flux de données : Surveiller les exfiltrations de données suspectes vers des services cloud.
• Segmentation réseau : Limiter la propagation latérale des malwares en segmentant le réseau.
• Mises à jour et correctifs : Maintenir les systèmes d’exploitation et les logiciels à jour pour corriger les vulnérabilités connues.

Source