Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

UnsolicitedBooker Targets Central Asian Telecoms With LuciDoor and MarsSnake Backdoors

1 minute de lecture

Mis à jour :

Campagne de Cyberattaques : UnsolicitedBooker Vise les Télécoms en Asie Centrale

Un groupe de menaces informatiques connu sous le nom d’UnsolicitedBooker a récemment ciblé des entreprises de télécommunications au Kirghizistan et au Tadjikistan, marquant un déplacement géographique de ses activités antérieures. Les attaques utilisent deux logiciels malveillants distincts, baptisés LuciDoor et MarsSnake. Le groupe est actif depuis au moins mars 2023 et est connu pour cibler des organisations en Asie, en Afrique et au Moyen-Orient. Des indices suggèrent une origine chinoise des outils utilisés.

Points Clés :

  • Ciblage géographique récent : Kirghizistan et Tadjikistan (télécommunications).
  • Outils principaux : LuciDoor et MarsSnake (logiciels malveillants de type backdoor).
  • Vecteur d’attaque initial : Emails de phishing contenant des documents Microsoft Office malveillants ou des liens vers ces documents.
  • Mécanisme d’infection : Macros malveillantes activées par l’utilisateur (“Enable Content”) ou exploitation de vulnérabilités.
  • Évolution des tactiques : Passage de LuciDoor à MarsSnake, puis retour à LuciDoor. Utilisation possible de routeurs compromis comme serveurs de commande et contrôle (C2).
  • Liens avec d’autres groupes : Des similarités tactiques ont été notées avec les groupes Space Pirates et une campagne ciblant l’Arabie Saoudite avec le backdoor Zardoor.

Vulnérabilités Exploités :

  • CVE-2018-0802 : Mentionnée dans le cadre des attaques de Cloud Atlas visant la Russie, permettant le chargement de templates distants via des flux alternatifs dans les documents Word.

Recommandations :

  • Sensibilisation et formation des utilisateurs : Informer sur les risques des emails de phishing et l’importance de ne pas activer de macros dans des documents non sollicités.
  • Renforcement de la sécurité des terminaux : Mise à jour des logiciels, utilisation d’antivirus et d’outils de détection d’intrusion.
  • Surveillance du réseau : Détecter les communications suspectes avec des serveurs C2 potentiels.
  • Application des correctifs de sécurité : Corriger les vulnérabilités connues, comme CVE-2018-0802, sur tous les systèmes concernés.
  • Segmentation du réseau : Limiter la propagation latérale des menaces en cas de compromission initiale.

Source

Vous pourriez aimer