Campagne de piratage sophistiquée cible les entreprises avec des malwares avancés
Une récente campagne de piratage a pris pour cible des entreprises, employant des tactiques complexes pour dissimuler ses charges utiles et cibler précisément ses victimes. Les chercheurs d’ESET ont identifié trois chaînes d’infection distinctes,notamment Agent Mythique,une variante de Snipbot et les malwares Rustyclaw et Meltingclaw,tous liés à des groupes d’attaquants sophistiqués. Cette attaque,motivée par des intérêts géopolitiques,met en lumière la nécessité d’une vigilance accrue et de mesures de sécurité robustes pour protéger les données sensibles. Pour comprendre pleinement l’étendue de cette menace et les mesures à prendre, continuez votre lecture.
Dateline: Paris – 29 Février 2024 –
voici un résumé des informations clés de l’article :
Campagne de piratage ciblée et sophistiquée
Une campagne de piratage récente a ciblé des entreprises, utilisant des tactiques avancées pour masquer ses charges utiles et cibler spécifiquement ses victimes. Les chercheurs ont identifié trois chaînes d’infection distinctes :
Agent Mythique: Exploite le détournement du modèle d’objet composant (COM) et utilise une reconnaissance préalable pour s’assurer que l’e-mail est envoyé à la bonne entreprise. Déploie la plateforme Mythic.
Variante Snipbot: Utilise un fichier LNK malveillant pour lancer une version falsifiée de PuTTY et charger une variante de Snipbot, un malware attribué au groupe Romcom.
Rustyclaw et Meltingclaw: Un autre fichier LNK malveillant déploie Rustyclaw, qui à son tour déploie Meltingclaw, également attribué à Romcom.
Attribution et Motivation
Les chercheurs d’ESET pensent que la campagne est motivée par des intérêts géopolitiques, car elle cible des secteurs alignés sur les intérêts des groupes APT alignés sur la Russie.
Le groupe Romcom est impliqué dans au moins deux des chaînes d’infection.
D’autres groupes, comme Paper Werewolf et Goffee, exploitent une faille de sécurité Winrar pour cibler des entreprises russes.
Tactiques et techniques
Utilisation de fichiers LNK malveillants pour lancer des logiciels malveillants.
Utilisation de logiciels open source falsifiés (PuTTY, Mythic, Snipbot).
Reconnaissance préalable pour cibler spécifiquement les victimes.
Masquage des charges utiles avec des vecteurs de données factices et des chemins non valides.* Utilisation de l’usurpation d’identité d’emploi, une tactique auparavant associée aux pirates nord-coréens, mais maintenant utilisée par des cybercriminels du monde entier.
il s’agit d’une campagne de piratage complexe et ciblée, impliquant plusieurs groupes de menaces et utilisant des techniques sophistiquées pour atteindre ses objectifs.
