New GoSerpent Malware Targets Southeast Asian Governments and Diplomats for Espionage
Mis à jour :
Analyse de la menace GoSerpent et de l’espionnage cybernétique en Asie du Sud-Est
Points clés
- Menace ciblée : Le logiciel malveillant « GoSerpent » est utilisé depuis fin 2025 pour des opérations d’espionnage à long terme contre des entités gouvernementales et diplomatiques en Asie du Sud-Est.
- Évolution des outils : Les attaquants déploient une suite complexe d’outils (GoSerpent, McMx RAT, Stowaway) pour le mouvement latéral, le vol de données et le déploiement de proxys SOCKS5 afin de masquer leurs traces.
- Méthodologie : Les attaquants pratiquent le moissonnage de données sur plusieurs mois, utilisant des outils comme ThumbcacheService pour la collecte de fichiers et Mimikatz ou QuarksDumpLocalHash pour l’exfiltration d’identifiants.
- Attribution possible : Les activités présentent des similitudes techniques et opérationnelles avec le groupe APT « TetrisPhantom », connu pour son usage de clés USB chiffrées à des fins d’espionnage.
Vulnérabilités et vecteurs d’attaque
- Abus de processus système : Utilisation de Mimikatz pour vider la mémoire du processus LSASS.
- Extraction de données sensibles : Exploitation du registre SAM pour obtenir les hashs de mots de passe locaux.
- Injection de modèles distants (RTF) : Le rapport mentionne également des campagnes distinctes du groupe « DoNot Team » exploitant des documents RTF avec injection de macros VBA pour infecter des cibles militaires.
- Note : Aucune CVE spécifique n’a été mentionnée dans l’article, les techniques reposant sur l’utilisation d’outils légitimes détournés (Living-off-the-Land) et de malwares personnalisés.
Recommandations
- Surveillance réseau : Détecter et bloquer les flux SOCKS5 suspects et les connexions vers des domaines inconnus ou non autorisés.
- Durcissement des accès : Restreindre l’exécution de scripts PowerShell/VBA et limiter l’accès des utilisateurs aux outils de dump de mémoire (LSASS).
- Contrôle des périphériques : Appliquer des politiques strictes de contrôle des supports USB, particulièrement dans les environnements gouvernementaux ou diplomatiques.
- Analyse comportementale : Surveiller la création de tâches planifiées suspectes (souvent déguisées sous des noms de services légitimes comme OneDrive) et les activités anormales liées aux partages réseau.
