G DATA dévoile l’attaque ciblée TooHash
novembre 2014 par G DATA
Le G DATA Security Lab détaille l’opération TooHash dans un document technique. Cette campagne de cyber-espionnage a ciblé des entreprises situées en Asie.
Le but de la campagne TooHash consistait à voler des documents confidentiels à des entreprises et institutions.
Document piégé pour les ressources humaines
Le mode opératoire des attaquants consistait à cibler les services des ressources humaines par l’envoi de Curriculum Vitae piégés au format Microsoft Word. La majorité des échantillons découverts ont été détectés à Taiwan.
Le document piégé utilisé en pièce jointe de l’email exploitait une ancienne vulnérabilité et mettait en place un outil d’administration à distance (RAT) sur l’ordinateur cible.
Entreprises chinoises en ligne de mire
Ces documents malveillants ont pris pour cible la grande région sinophone par extension : une partie est écrite en chinois simplifié, pratiqué en Chine continentale et d’autres parties sont en chinois traditionnel, utilisé à Hong Kong, Macao et Taiwan.
Étendue de l’opération
75 serveurs de contrôle et de commandes liés à cette opération ont été découverts. Ils étaient utilisés pour administrer les cibles infectées. Ces serveurs étaient localisés à Hong Kong et aux États-Unis. La langue utilisée par les attaquants pour contrôler les systèmes infectés était le chinois et l’anglais. Plusieurs éléments indiquent que le groupe cybercriminel Shiqiang group serait à la source de cette attaque.
– Le dossier complet en anglais sur l’opération est accessible ici : http://www.gdatasoftware.com/rdk/dl-en-toohash.