ClickCease Logiciel malveillant personnalisé COLDRIVER : les pirates évoluent dans leurs tactiques d'attaque

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Logiciel malveillant personnalisé COLDRIVER : les pirates évoluent dans leurs tactiques d'attaque

Wajahat Raja

Le 2 février 2024 - L'équipe d'experts de TuxCare

Dans le cadre des récents développements en matière de cybersécurité, le logiciel malveillant personnalisé logiciel malveillant personnalisé COLDRIVER. Un célèbre groupe de pirates informatiques, COLDRIVER, a porté ses tactiques d'attaque à un niveau supérieur, en déployant un logiciel malveillant personnalisé appelé "Proton-decrypter.exe". Ce choix de nomenclature est significatif, car Microsoft avait précédemment révélé que l'adversaire utilisait principalement Proton Drive pour envoyer des leurres PDF par le biais de messages d'hameçonnage. Dans ce billet de blog, nous allons explorer le malware personnalisé de malware personnalisé COLDRIVERen nous penchant sur l'évolution des tactiques d'attaque et en découvrant des informations cruciales sur le paysage de la cybersécurité.

La tromperie du Proton Drive

Les chercheurs du groupe d'analyse des menaces de Google (TAG) ont révélé à The Hacker News que le document PDF utilisé dans l'attaque était hébergé sur Proton Drive. Il est intéressant de noter que les attaquants affirment que l'outil est destiné à décrypter les fichiers hébergés sur cette plateforme en nuage. Cependant, la réalité est bien plus sinistre. Le soi-disant décrypteur est en fait une porte dérobée nommée SPICA. Les cibles de premier plan dans les attaques COLDRIVER permettent aux acteurs de la menace d'accéder secrètement aux machines ciblées tout en affichant un document leurre pour induire l'utilisateur en erreur et le maintenir en haleine.

Du scoutisme à SPICA

Les précédentes découvertes de WithSecure (anciennement F-Secure) ont mis en lumière l'utilisation par COLDRIVER d'une porte dérobée légère appelée Scout. Cet outil malveillant, provenant de la plateforme de piratage HackingTeam Remote Control System (RCS) Galileo, a été observé dans des campagnes de spear-phishing dès 2016. Scout sert d'outil de reconnaissance initial, recueillant des informations de base sur le système et des captures d'écran, et permettant l'installation de logiciels malveillants supplémentaires.

 

Le dernier développement, SPICA, est le premier logiciel malveillant personnalisé de COLDRIVER. le premier logiciel malveillant personnalisé de COLDRIVER.. Il s'appuie sur JSON via WebSockets pour les opérations de commande et contrôle (C2)Il permet l'exécution de commandes shell arbitraires, le vol de cookies à partir de navigateurs web, le téléchargement de fichiers, ainsi que l'énumération et l'exfiltration de fichiers. La persistance est assurée par l'utilisation d'une tâche planifiée.

Malware SPICA par COLDRIVER

Lors de l'exécution, SPICA décode un PDF intégré, l'écrit sur le disque et l'ouvre comme un leurre pour l'utilisateur. Simultanément, en arrière-plan, il établit la persistance et lance la boucle C2 principale, attendant les commandes à exécuter. La sophistication de SPICA réside dans sa polyvalence. réside dans sa polyvalence, qui permet au pirate d'effectuer toute une série d'activités malveillantes sur le système compromis.

 

Calendrier détaillé de la campagne

Il semble que l'utilisation de SPICA par COLDRIVER remonte à novembre 2022. Le service de cybersécurité a identifié de multiples variantes de la version "cryptée" de SPICA. PDF "crypté", ce qui indique l'existence de différentes versions de SPICA adaptées au PDF "chiffrés", ce qui indique l'existence de différentes versions de SPICA conçues pour correspondre aux documents envoyés à des cibles spécifiques. Ces secteurs ciblés dans les attaques COLDRIVER suggèrent une approche stratégique et évolutive de la part de l'acteur étatique.

Attaques limitées et ciblées

Bien que Google TAG n'ait pas de visibilité sur le nombre exact de victimes compromises avec SPICA, il suspecte son déploiement dans des "des attaques très limitées et ciblées". L'accent semble être mis sur des personnes très en vue au sein d'organisations non gouvernementales (ONG), d'anciens responsables des services de renseignement et de l'armée, des secteurs de la défense et des gouvernements des pays de l'OTAN. Cette précision dans le ciblage implique un effort concerté de la part de COLDRIVER pour poursuivre des objectifs stratégiques.

Logiciel malveillant personnalisé COLDRIVER - Réponse internationale

Cette révélation intervient un mois après que les gouvernements britannique et américain ont imposé des sanctions à deux membres russes de COLDRIVER, Ruslan Aleksandrovich Peretyatko et Andrey Stanislavovich Korinets, pour leur implication dans des opérations de spear-phishing. La société française de cybersécurité Sekoia a mis en évidence des liens entre Korinets et l'infrastructure connue utilisée par le groupe, qui comprend de nombreux domaines d'hameçonnage et de multiples serveurs.

Démasquer Calisto

Sekoia suggère qu'Andrey Stanislavovich Korinets, un membre clé de COLDRIVER, possède une expertise en matière d'enregistrement de domaines - une compétence probablement utilisée par les services de renseignement russes, soit directement, soit par l'intermédiaire d'une relation de sous-traitance. Cela a permis d'identifier le groupe de pirates informatiques évolution du groupe de pirates informatiques COLDRIVER et des activités soutenant les intérêts stratégiques de Moscou, Sekoia ayant révélé que "Calisto", l'un des outils utilisés par COLDRIVER l'un des outils utilisés par COLDRIVER, contribue aux efforts des services de renseignement russes.

Contre-mesures

En réponse à cette menace permanente, Google TAG a pris des mesures proactives pour perturber le fonctionnement du logiciel malveillant personnalisé COLDRIVER. campagne de logiciels malveillants personnalisés COLDRIVER de COLDRIVER. Il a ajouté tous les sites web, domaines et fichiers connus associés au groupe de pirates aux listes de blocage de Safe Browsing. Bien que l'impact exact sur le nombre de victimes compromises reste inconnu, ces efforts visent à empêcher toute nouvelle exploitation par COLDRIVER.

 

Les applications web reposent souvent sur des scripts côté serveur pour traiter et gérer les données, améliorant ainsi la fonctionnalité et l'interactivité de l'expérience utilisateur. Toutefois, il est essentiel de mettre en œuvre des mesures de sécurité solides pour les scripts côté serveur afin de se prémunir contre les vulnérabilités potentielles et de garantir un environnement en ligne sécurisé pour les utilisateurs.

Conclusion

L'évolution des tactiques de COLDRIVER met en évidence la nécessité de d'une de la cybersécurité de la cybersécurité. Le déploiement de SPICA, une porte dérobée personnalisée, signifie une escalade dans la sophistication, permettant un large éventail d'activités malveillantes. Alors que la collaboration internationale s'intensifie pour contrer ces menaces, la communauté de la cybersécurité reste vigilante dans ses efforts pour protéger les personnes et les organisations les plus en vue contre le paysage en constante évolution des cyberattaques.

 

Les sources de cet article comprennent des articles dans The Hacker News et TechCrunch.

Résumé
Logiciel malveillant personnalisé COLDRIVER : les pirates évoluent dans leurs tactiques d'attaque
Nom de l'article
Logiciel malveillant personnalisé COLDRIVER : les pirates évoluent dans leurs tactiques d'attaque
Description
Plongez dans le monde des logiciels malveillants personnalisés COLDRIVER. Découvrez l'évolution des tactiques d'attaque du groupe de pirates. Restez informé, restez en sécurité.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information