La nouvelle cyber-campagne « Armor Piercer » cible les représentants du gouvernement indien

  • Français


  • Les cyberattaques et les campagnes malveillantes se multiplient, de nouvelles opérations cybercriminelles étant signalées plus souvent dans le paysage de la sécurité. Récemment, des experts en sécurité de Cisco Talos ont découvert une campagne de cyberespionnage, identifiée comme Perceur d’armure, ciblant les employés du secteur public et de la défense en Inde avec deux chevaux de Troie d’accès à distance – NetwireRAT (également connu sous le nom de NetwireRC) et Zone de guerreRAT (également connu sous le nom d’Ave Maria). Il s’est avéré que la campagne distribuait des documents malveillants pour déployer des RAT et accéder à des données confidentielles.

    NetwireRAT et WarzoneRAT sont dotés de nombreuses fonctionnalités, notamment :

    • Voler les identifiants des navigateurs
    • Exécuter des commandes arbitraires
    • Recueillir des informations sur le système
    • Opérations de gestion de fichiers telles que l’écriture, la lecture, la copie, la suppression de fichiers, etc.
    • Énumérer, terminer les processus
    • Enregistreur de frappe
    • Bureau à distance
    • Capture webcam
    • Vol d’informations d’identification dans les navigateurs et les clients de messagerie
    • Coquilles inversées

    Campagne d’hameçonnage de Armor Piercer

    Active depuis 2020, la campagne s’appuie sur des documents opérationnels liés à Kavach comme leurres d’hameçonnage pour tromper les employés. Kavach est une application d’authentification à deux facteurs (2FA) exploitée par le National Informatics Center (NIC) de l’Inde, utilisée par le personnel gouvernemental de divers départements pour accéder à leurs e-mails. Armor Piercer a également été trouvé en train d’utiliser des sites Web compromis et de faux domaines pour héberger leurs charges utiles de logiciels malveillants. Il a également utilisé plusieurs techniques de phishing pour se dissimuler et échapper aux détections de sécurité.

    Vecteur d’attaque de perceur d’armure

    Les opérateurs d’Armor Piercer ont livré leurs charges utiles de logiciels malveillants via divers leurres de phishing aux employés ciblés présentés comme des avis ou des guides de sécurité sous la forme de documents Microsoft Office malveillants (maldocs) et d’archives (RAR, ZIP). Une fois qu’une victime télécharge le maldoc, elle télécharge automatiquement un chargeur chargé de déployer la charge utile RAT finale sur le point de terminaison ciblé.

    « Outre les artefacts impliqués dans les chaînes d’infection, nous avons également découvert l’utilisation de scripts côté serveur pour effectuer des tâches opérationnelles telles que l’envoi d’e-mails malveillants et le maintien d’une présence sur les sites compromis via des shells Web. Cela fournit des informations supplémentaires sur les TTP opérationnels de l’attaquant. Certains de ces leurres et tactiques utilisés par les attaquants ressemblent beaucoup aux Tribu transparente et SideCopy APT groupes, y compris l’utilisation de sites Web compromis et de faux domaines », ont déclaré les chercheurs.

    Commentant la cyberopération d’Armor Piercer, Vishak Raman, directeur des activités de sécurité, Cisco India et SAARC, a déclaré : « L’opération Armor Piercer est un sombre rappel des vulnérabilités qui existent toujours dans notre posture de cybersécurité. Pour assurer la sécurité de bout en bout des actifs et des informations les plus précieux de l’Inde, le gouvernement et les agences de défense doivent mettre en œuvre une stratégie de défense en couches qui permet une visibilité et une couverture complètes sur tous les points de terminaison, accélère la réponse en tirant parti de l’automatisation et de l’orchestration pour enrichir les données et réduit les des ensembles de données en informations exploitables grâce à l’IA/ML et à l’analyse de données. Essentiellement, la sécurité ne doit pas être intégrée, mais plutôt intégrée à chaque système et processus pour assurer une protection infaillible des personnes et des biens. »

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *