EvilBamboo cible les Tibétains, les Ouïghours et les Taïwanais : est-ce grave ?

Des personnes et des organisations tibétaines, ouïghoures et taïwanaises sont la cible d’une campagne persistante orchestrée par un acteur de la menace dont le nom de code est EvilBamboo et qui vise à recueillir des informations sensibles.

« L’attaquant a créé de faux sites web tibétains, ainsi que des profils de médias sociaux, probablement utilisés pour déployer des exploits basés sur le navigateur contre les utilisateurs ciblés », ont déclaré Callum Roxan, Paul Rascagneres et Thomas Lancaster, chercheurs en sécurité chez Volexity, dans un rapport publié la semaine dernière.

« En partie en usurpant l’identité de communautés populaires existantes, l’attaquant a construit des communautés sur des plateformes en ligne, telles que Telegram, pour aider à la distribution de leurs logiciels malveillants. »

EvilBamboo, anciennement repéré par la firme de cybersécurité sous le nom d’Evil Eye, a été lié à de multiples vagues d’attaques depuis au moins 2019, l’acteur de la menace s’appuyant sur des attaques de type « watering hole » pour diffuser des logiciels espions ciblant les appareils Android et iOS. Il est également connu sous les noms de Earth Empusa et POISON CARP.

Les intrusions dirigées contre le système d’exploitation mobile d’Apple ont tiré parti d’une vulnérabilité alors zéro jour dans le moteur de navigation WebKit, qui a été corrigée par Apple au début de 2019, pour diffuser une souche de logiciel espion appelée Insomnia. Meta, en mars 2021, a déclaré avoir détecté l’acteur de la menace abusant de ses plateformes pour distribuer des sites web malveillants hébergeant le logiciel malveillant.

Le groupe est également connu pour utiliser des logiciels malveillants Android tels que ActionSpy et PluginPhantom pour récolter des données précieuses à partir d’appareils compromis sous l’apparence de dictionnaires, de claviers et d’applications de prière disponibles sur des boutiques d’applications tierces.

Les dernières découvertes de Volexity attribuent à EvilBamboo trois nouveaux outils d’espionnage Android, à savoir BADBAZAAR , BADSIGNAL , et BADSOLAR , dont le premier a été documenté par Lookout en novembre 2022 . Le mois dernier, ESET a publié un rapport détaillant deux applications trojanisées se faisant passer pour Signal et Telegram sur le Google Play Store afin d’inciter les utilisateurs à installer BADSIGNAL . Alors que la société slovaque de cybersécurité a attribué les fausses applications à la famille BADBAZAAR, citant des similitudes de code, Volexity a déclaré « qu’elles semblent également diverger dans leur développement et leur fonctionnalité ».

Les chaînes d’attaque utilisées pour distribuer les familles de logiciels malveillants comprennent l’utilisation de forums de partage d’APK , de faux sites Web faisant la publicité de Signal , Telegram , et WhatsApp , des canaux Telegram consacrés au partage d’applications Android , et un ensemble de faux profils sur Facebook , Instagram , Reddit , X ( anciennement Twitter ), et YouTube .

« Les variantes de Telegram mettent en œuvre les mêmes points d’extrémité d’API que les variantes de Signal pour recueillir des informations sur l’appareil et mettent en œuvre un proxy », ont déclaré les chercheurs. L’un des canaux Telegram aurait également contenu un lien vers une application iOS nommée TibetOne qui n’est plus disponible dans l’App Store d’Apple. Les messages échangés via les groupes Telegram ont également été utilisés pour distribuer des applications protégées par le logiciel malveillant BADSOLAR ainsi que des liens piégés qui, lorsqu’ils sont visités, exécutent un JavaScript malveillant pour établir le profil et les empreintes digitales du système.

Alors que BADBAZAAR est principalement utilisé pour cibler les Ouïghours et d’autres individus de confession musulmane, BADSOLAR semble être utilisé principalement avec des applications à thème tibétain. Cependant, les deux souches intègrent leurs capacités malveillantes sous la forme d’une deuxième étape récupérée sur un serveur distant.

Le logiciel malveillant de deuxième étape de BADSOLAR est également un cheval de Troie d’accès à distance à Android à source ouverte appelé AndroRAT. BADSIGNAL, en revanche, intègre toutes ses fonctions de collecte d’informations dans le paquet principal lui-même.

« Ces campagnes reposent en grande partie sur l’installation par les utilisateurs d’applications piratées, ce qui souligne à la fois l’importance de n’installer que des applications d’auteurs fiables et l’absence de mécanismes de sécurité efficaces pour empêcher les applications piratées de se frayer un chemin jusqu’aux magasins d’applications officiels », ont déclaré les chercheurs

.

« La création par EvilBamboo de faux sites Web et de personas adaptés aux groupes spécifiques qu’ils ciblent a été un aspect clé de leurs opérations, leur permettant de construire des communautés de confiance qui fournissent d’autres moyens de cibler les individus avec leurs logiciels espions ou pour d’autres formes d’exploitation. »

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.