La campagne Lone Wolf cible l’Inde et l’Afghanistan avec des RAT sur les produits de base

  • Français


  • Les cyberattaques et les campagnes de logiciels malveillants contre l’Inde et ses pays voisins ont augmenté de façon exponentielle. Récemment, les experts en sécurité Cisco Talos ont découvert une nouvelle campagne de logiciels malveillants ciblant des organisations en Inde et en Afghanistan en exploitant une vulnérabilité vieille de 20 ans dans Microsoft Office. Suivi comme Loup solitaire, la campagne aurait déployé une série de chevaux de Troie d’accès à distance (RAT) pour obtenir un contrôle total sur les points de terminaison compromis.

    Phases d’attaque du loup solitaire

    Les chercheurs ont observé Lone Wolf ciblant des entités en Inde et en Afghanistan en exploitant des documents RTF malveillants qui déploient une variété de logiciels malveillants de base pour les victimes. Les attaques de la campagne Lone Wolf se déroulent en deux phases :

    • Une phase de reconnaissance qui implique un énumérateur de fichier personnalisé et un infecteur aux victimes
    • Une phase d’attaque qui déploie une variété de RAT de produits de base, tels que DcRAT et QuasarRAT, sur les appareils ciblés

    Comment les attaques de loup solitaire

    Les opérateurs de Lone Wolf ont été trouvés en train d’utiliser des domaines malveillants politiques et gouvernementaux pour cibler les victimes. Ils ont déployé les chevaux de Troie dcRAT et QuasarRAT sur Windows ciblé via des documents malveillants en exploitant CVE-2017-11882 – une vulnérabilité de corruption de mémoire dans Microsoft Office. Ils ont également créé une fausse société informatique basée à Lahore appelée Bunse Technologies comme façade pour mener leurs activités malveillantes.

    La campagne a également utilisé des documents RTF malveillants, des scripts PowerShell et des fichiers binaires de téléchargement C# pour distribuer des logiciels malveillants, tout en affichant des images leurres aux victimes pour qu’elles semblent légitimes.

    « Cette campagne est un exemple classique d’un acteur de menace individuel utilisant des thèmes politiques, humanitaires et diplomatiques dans une campagne visant à diffuser des logiciels malveillants de base aux victimes. Les familles de produits RAT sont de plus en plus utilisées par les groupes de logiciels criminels et APT pour infecter leurs cibles. Ces RAT sont dotés de multiples fonctionnalités pour obtenir un contrôle complet sur le point de terminaison de la victime, des capacités de reconnaissance préliminaire à l’exécution de commandes arbitraires et à l’exfiltration de données. Ces familles constituent également d’excellentes rampes de lancement pour déployer des logiciels malveillants supplémentaires contre leurs victimes. De plus, ces fonctionnalités prêtes à l’emploi permettent aux attaquants d’apporter des modifications de configuration minimales aux RAT, éliminant ainsi le besoin d’un cycle de développement complet de logiciels malveillants personnalisés par un acteur », ont déclaré les chercheurs.

    Utilisation accrue des RAT de produits de base

    Il y a eu une augmentation de l’utilisation des RAT de produits de base ces derniers temps. Microsoft a récemment découvert une campagne ciblant les secteurs des compagnies aériennes, du fret et du voyage, qui fournit des charges utiles RAT via des e-mails de spear phishing.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *