Silver Dragon Targets Organizations in Southeast Asia and Europe

Silver Dragon : L’Armée Numérique Chinoise

Un groupe de cybercriminalité sophistiqué, désigné sous le nom de Silver Dragon, cible activement des organisations en Asie du Sud-Est et en Europe, avec une prédilection pour les entités gouvernementales. Il est fortement suspecté d’opérer sous l’égide du groupe d’acteurs menaçants à tendance chinoise APT41.

Points Clés :

• Méthodes d’Intrusion : L’accès initial s’effectue principalement par l’exploitation de serveurs accessibles depuis Internet ou par des campagnes d’hameçonnage contenant des pièces jointes malveillantes. Une fois infiltré, le groupe maintient sa présence en détournant des services Windows légitimes, permettant à ses processus malveillants de se fondre dans l’activité système normale.
• Outils Personnalisés : Silver Dragon déploie une panoplie d’outils sur mesure, dont le nouveau cheval de Troie GearDoor, qui utilise Google Drive comme canal de commande et contrôle (C2) pour une communication furtive. Il utilise également SSHcmd, un utilitaire en ligne de commande pour l’accès à distance via SSH, et SliverScreen, un outil de surveillance d’écran capturant des captures d’écran périodiques.
• Charge Utile Finale : Dans la plupart des cas observés, la charge utile finale est une balise Cobalt Strike, qui communique avec son infrastructure C2 via un tunnel DNS, échappant ainsi aux mécanismes de détection réseau.
• Techniques d’Obfuscation : Le groupe utilise des techniques d’obfuscation avancées, comme le chiffrement basé sur Brainfuck pour ses chaînes de caractères et des méthodes de déchiffrement et de décompression en mémoire pour ses charges utiles, rendant l’analyse statique et dynamique difficile.
• Campagnes d’Hameçonnage Ciblées : Une campagne d’hameçonnage récente a été identifiée, ciblant principalement l’Ouzbékistan, utilisant des fichiers LNK malveillants comme pièces jointes.

Vulnérabilités Exploités :

Bien que l’article ne liste pas de CVE spécifiques, les méthodes d’accès initiales impliquent l’exploitation de :

• Serveurs publics exposés et vulnérables.
• Techniques d’exécution de code, telles que le détournement d’AppDomain pour des exécutables Windows légitimes (ex: dfsvc.exe, tzsync.exe).
• Fichiers LNK malveillants dans le cadre de campagnes d’hameçonnage.

Recommandations :

Bien que l’article ne fournisse pas explicitement une section “Recommandations”, les actions suivantes peuvent être déduites pour atténuer les menaces :

• Renforcer la sécurité des serveurs publics : Mettre en œuvre des mises à jour régulières et une surveillance continue des serveurs accessibles depuis Internet pour identifier et corriger les vulnérabilités.
• Sensibilisation à l’hameçonnage : Former les utilisateurs à reconnaître et à signaler les e-mails suspects, les pièces jointes malveillantes et les liens douteux.
• Surveillance réseau et endpoint : Déployer des solutions de sécurité avancées pour détecter les comportements anormaux, les communications C2 inconnues (notamment via DNS tunneling) et les exécutions de code suspectes.
• Gestion des services Windows : Surveiller les modifications apportées aux services Windows légitimes et s’assurer que seuls les services approuvés sont installés et exécutés.
• Application des correctifs : Maintenir les systèmes d’exploitation et les logiciels à jour avec les derniers correctifs de sécurité pour réduire la surface d’attaque.
• Segmentation du réseau : Mettre en œuvre une segmentation du réseau pour limiter la propagation latérale des menaces en cas d’infection initiale.

Source