Skip to content
Home » Des Pirates Chinois Distribuent Un Outil SMS Bomber Avec Des Logiciels Malveillants Cachés à L’intérieur

Des Pirates Chinois Distribuent Un Outil SMS Bomber Avec Des Logiciels Malveillants Cachés à L’intérieur

Free SMS bombardment tool

A group of menaces joined a group of pirates appelé Soldier of the Tropics This was found in the train to use a previously undocumented software malveillant code in the language Nim pour frapper des cibles dans le cadre d’une campagne récemment découverte.

The new chargeur, surnamed Nimbda, is “fourni avec unil ‘SMS Bomber’ de greyware en langue Chinoise que est très très distribué illégalement sur le Web de langue chinoise”, declared the Israeli cybersecurity society Check Point. a dit dans un rapport.

“Celui qui a conçu le charger Nim a pris un soin particulier à lui donner la même icône exécutable que le SMS Bomber qu’il dépose et exécute”, ont declaré les chercheurs. “Par conséquent, l’ensemble du bundle fonctionne comme un binaire cheval de Troie.”

I advertised

SMS Bomber, as they are nom l’indica, allow a user to tell a phone number (pas le sien) in order to understand the appearance of the victim of messages and render him potentially unusable for an attack by deni of service (DoS).

The cyber security

Le fait que le binaire se double de SMS Bomber et d’une porte derobée suggests that the attacks and visent pas seulement ceux qui utilisent l’util – une “cible plutôt peu orthodoxe” – mais aussi de nature très ciblée.

Soldat des tropiqueségalement connu sous les surnoms Earth Centaur, KeyBoy et Pirate Panda, a fait ses ses forecasts en frappant des cibles situées à Taïwan, à Hong Kong et aux Philippines, concentrating principalement sur les industries gouvernementales, de la santé, des transports et de the haute technologie.

Qualifying the collection of the “particulièrement sophistiqué et bien équipé”, Trend Micro a souligné l’année dernière la capacité du groupe à faire évoluer ses TTP pour rester sous le radar et s’appuyer sur une large gamme d’utils personnalisés pour compromistre ses objects.

The last chain of attack documented by Check Point commenced by the falsified SMS Bomber, le chargeur Nimbda, which launched an exécutable intégré, dans ce cas la charge utile légitime du Bombardier SMS, tout en injectant également un morceau de shellcode separé dans a notepad.exe process.

Cela launches a multi-level infection process that involves downloading a subsequent binary from a specific IP address masqued by a demarcation file (“EULA.md”) hosted by a GitHub referrer or Gitee contrôlé par l’attaquant.

The cyber security

The binary I recovered is an upgraded version of a Troie named Yahoyah who is using to collect the information on the files without the location near the machine victim even if other metadata systems and exfiltrate the details of a command server et de control (C2).

Yahoyah, for this part, shake it with a conduit to recover the malware from the previous stage, which is downloaded from the image form from the C2 server. The charge utile coded stéganographically is un porte derobée connue sous la nom de TClient et a été dployée por el groupe lors decampagnes précédentes.

“Le groupe d’activités observed brosse le tableau d’un acteur concentré et determiné avec un objectif clair en tête”, concluded les chercheurs.

“Habituellement, lorsque des outils tiers bénins (ou d’apparence bénigne) sont triés sur le volet pour être insérés dans une chain d’infection, ils sont choisis pour être les moins visible possibles; le choix d’un outil ‘SMS Bomber’ à cette fin est troublant, et raconte toute une histoire dès l’instant où l’on ose extrapolar un mobile et une victime visée.”

Leave a Reply

Your email address will not be published. Required fields are marked *