UAT-10362 Targets Taiwanese NGOs with LucidRook Malware in Spear-Phishing Campaigns
Mis à jour :
Campagne de cyberespionnage UAT-10362 contre les ONG taïwanaises
Le groupe de menace UAT-10362 mène des campagnes de hameçonnage ciblant spécifiquement des ONG et des universités à Taïwan. Les attaquants déploient des malwares modulaires sophistiqués, notamment LucidRook, une charge utile basée sur le langage Lua, utilisée pour exfiltrer des données et exécuter des commandes à distance.
Points clés :
- Vecteur d’attaque : Hameçonnage par courriel diffusant des archives RAR/7-Zip.
- Techniques de dissimulation : Utilisation intensive du DLL side-loading (chargement latéral de DLL) et contournement d’analyse par géofencing (ciblage strict de l’environnement linguistique “zh-TW”).
- Infrastructure : Utilisation de services OAST (Out-of-band Application Security Testing) et de serveurs FTP compromis pour le contrôle et la commande (C2).
- Architecture : Utilisation d’un “kit d’outils hiérarchisé” comprenant un module de reconnaissance (LucidKnight) pour profiler les cibles avant le déploiement du chargeur principal (LucidRook).
Vulnérabilités :
- Aucune CVE spécifique n’est exploitée ; l’attaque repose sur l’ingénierie sociale et l’abus de fonctionnalités légitimes de Windows (DLL side-loading) pour exécuter des binaires malveillants masqués en outils système ou logiciels antivirus.
Recommandations :
- Surveillance des terminaux : Détecter et bloquer l’exécution de binaires non signés ou suspects utilisant le DLL side-loading dans des répertoires utilisateur.
- Sensibilisation : Former le personnel à la vigilance face aux archives suspectes (RAR/7-Zip), même lorsqu’elles imitent des logiciels légitimes ou des documents PDF.
- Filtrage réseau : Surveiller et restreindre les communications vers des services FTP non approuvés ou des infrastructures OAST suspectes.
- Politiques de sécurité : Appliquer le principe du moindre privilège pour limiter l’exécution de scripts PowerShell et l’installation de logiciels non autorisés.