Un nouveau groupe cybercriminel dangereux a été repéré ciblant des agences gouvernementales et des organisations militaires dans la région Asie-Pacifique.
Selon plusieurs entreprises de cybersécurité qui ont repéré l’acteur de la menace, il semble déployer des tactiques peu orthodoxes pour obtenir des informations sensibles à partir des terminaux cibles. (s’ouvre dans un nouvel onglet).
Deux entreprises de cybersécurité suivaient initialement les attaquants – Group-IB et Anheng Hunting Labs. Alors que le premier a surnommé le groupe Dark Pink, le second l’appelle Saaiwc Group. Quel que soit le nom, les pirates utilisent des attaques de harponnage pour le déploiement initial et des clés USB infectées pour la propagation.
Abuser des défauts connus
Les e-mails de harponnage sont généralement de fausses candidatures conçues pour inciter les victimes à télécharger des fichiers ISO militarisés. Ces fichiers abuseraient d’une vulnérabilité connue de haute gravité identifiée comme CVE-2017-0199 (vulnérabilité d’exécution de code à distance Office/WordPad) pour déployer Ctealer ou Cucky (infostealers personnalisés). Ceux-ci déploieraient plus tard un implant de registre nommé TelePowerBot.
Une méthode distincte a été observée en déployant KamiKakaBot, conçu pour lire et exécuter des commandes.
Cucky et Ctealer sont tous deux conçus pour voler les mots de passe, l’historique de navigation, les informations d’identification enregistrées et les cookies de la plupart des navigateurs populaires d’aujourd’hui (et plus encore). De plus, le groupe est en mesure d’accéder à des applications de messagerie, de voler des documents et de saisir de l’audio via des microphones connectés à des appareils infectés.
« Pendant l’infection, les acteurs de la menace exécutent plusieurs commandes standard (par exemple, net share, Get-SmbShare) pour déterminer quelles ressources réseau sont connectées à l’appareil infecté. Si l’utilisation du disque réseau est trouvée, ils commenceront à explorer ce disque pour trouver des fichiers qui pourraient les intéresser et les exfiltreront potentiellement », a expliqué Group-IB.
Au cours du second semestre 2022, le groupe a lancé au moins sept attaques réussies, affirment les chercheurs.
Les sept organisations (pour lesquelles les attaques avaient été confirmées) ont été informées de l’attaque et ont reçu des conseils sur la marche à suivre. Les chercheurs affirment qu’il est fort probable que le groupe ait compromis un nombre encore plus grand d’organisations, mais les confirmations sont encore à venir.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)