Turla, un acteur de la menace russe connu qui serait lié au Kremlin, a été observé en train de recycler un logiciel malveillant vieux de dix ans et obsolète pour accéder à des terminaux en Ukraine et espionner ses cibles.
Un rapport des experts en cybersécurité Mandiant a révélé qu’à la mi-2022, Turla réenregistrait les domaines expirés d’Andromeda, un cheval de Troie bancaire courant qui était largement distribué il y a près d’une décennie – en 2013.
Ce faisant, le groupe prendrait en charge les serveurs de commande et de contrôle (C2) du logiciel malveillant, accédant ainsi aux terminaux autrefois infectés et à leurs informations sensibles.
Cachant à la vue
L’un des avantages de cette nouvelle approche, selon les chercheurs, est la possibilité de rester caché aux chercheurs en cybersécurité.
« Parce que les logiciels malveillants ont déjà proliféré via USB, Turla peut en tirer parti sans s’exposer. Plutôt que d’utiliser leurs propres outils USB comme agent.btz, ils peuvent s’asseoir sur ceux de quelqu’un d’autre », explique John Hultquist, analyste en chef du renseignement chez Mandiant. « Ils se greffent sur les opérations d’autres personnes. C’est une façon très intelligente de faire des affaires.
Mais ce qui a sonné l’alarme avec Mandiant, c’est le fait qu’Andromeda a déployé deux logiciels malveillants supplémentaires : un outil de reconnaissance nommé Kopiluwak et une porte dérobée nommée Quietcanary. C’est le premier qui l’a donné, car c’est un outil qui a également été utilisé par Turla dans le passé.
Au total, trois domaines expirés ont été réenregistrés l’année dernière, se connectant à des « centaines » d’infections Andromeda, donnant toutes à Turla un accès à des données sensibles. «En faisant cela, vous pouvez essentiellement vous cacher beaucoup mieux. Vous ne spammez pas un groupe de personnes, vous laissez quelqu’un d’autre spammer un groupe de personnes », déclare Hultquist. « Ensuite, vous avez commencé à sélectionner et à choisir les cibles qui valent votre temps et votre exposition. »
Turla a utilisé cette nouvelle approche pour cibler les points finaux en Ukraine, ont déclaré les chercheurs, ajoutant que, jusqu’à présent, c’est le seul pays attaqué.
Par: Filaire (s’ouvre dans un nouvel onglet)