Un panneau de cyberattaque récemment découvert, baptisé TeslaGun, a été découvert, utilisé par Evil Corp pour lancer des campagnes de porte dérobée ServHelper.
Les données glanées à partir d'une analyse réalisée par l'équipe Prodraft Threat Intelligence (PTI) montrent que le gang de ransomwares Evil Corp (alias TA505 ou UNC2165, ainsi qu'une demi-douzaine d'autres noms de suivi colorés) a utilisé TeslaGun pour mener des campagnes de phishing de masse et des campagnes ciblées contre plus d'utilisateurs. plus de 8,000 3,600 organisations et individus différents. La majorité des cibles se trouvaient aux États-Unis, qui représentaient plus de XNUMX XNUMX des victimes, avec une répartition internationale dispersée en dehors de cela.
Il y a eu une expansion continue du malware de porte dérobée ServHelper, un package de longue date et constamment mis à jour qui existe depuis au moins 2019. Il a recommencé à prendre de l'ampleur au cours du second semestre 2021, selon un rapport de Cisco Talos, stimulé par des mécanismes tels que de faux installateurs et des logiciels malveillants d'installation associés tels que Raccoon et Amadey.
Plus récemment, renseignements sur les menaces de Trellix le mois dernier, il a été rapporté que la porte dérobée ServHelper avait récemment été découverte en laissant tomber des cryptomineurs cachés sur les systèmes.
Le rapport PTI, publié mardi, approfondit les spécificités techniques de TeslaGun et propose quelques détails et conseils qui peuvent aider les entreprises à aller de l'avant avec d'importantes contre-mesures à certaines des tendances actuelles en matière de cyberattaques par porte dérobée.
Les attaques par portes dérobées qui contournent les mécanismes d'authentification et établissent discrètement la persistance sur les systèmes d'entreprise sont parmi les plus déconcertantes pour les défenseurs de la cybersécurité. En effet, ces attaques sont notoirement difficiles à détecter ou à prévenir avec les contrôles de sécurité standards.
Les attaquants par porte dérobée diversifient leurs actifs d’attaque
Les chercheurs du PTI ont déclaré avoir observé un large éventail de profils de victimes et de campagnes différentes au cours de leurs enquêtes, confirmant des recherches antérieures qui montraient que les attaques ServHelper recherchent les victimes dans une variété de campagnes simultanées. Il s’agit d’un modèle d’attaque caractéristique consistant à ratisser large pour les coups opportunistes.
"Une seule instance du panneau de contrôle TeslaGun contient plusieurs enregistrements de campagne représentant différentes méthodes de livraison et données d'attaque", explique le rapport. "Les versions plus récentes du malware codent ces différentes campagnes sous forme d'identifiants de campagne."
Mais les cyberattaquants profileront activement les victimes
Dans le même temps, TeslaGun contient de nombreuses preuves selon lesquelles les attaquants établissent le profil des victimes, prennent de nombreuses notes à certains moments et mènent des attaques ciblées par porte dérobée.
« L'équipe PTI a observé que le tableau de bord principal du panel TeslaGun comprend des commentaires joints aux dossiers des victimes. Ces enregistrements montrent les données des appareils des victimes telles que le processeur, le GPU, la taille de la RAM et la vitesse de connexion Internet », indique le rapport, expliquant que cela indique un ciblage des opportunités de cryptominage. "D'un autre côté, selon les commentaires des victimes, il est clair que TA505 recherche activement des utilisateurs de services bancaires en ligne ou de détail, y compris des portefeuilles cryptographiques et des comptes de commerce électronique."
Le rapport indique que la plupart des victimes semblent opérer dans le secteur financier mais que ce ciblage n'est pas exclusif.
La revente est une partie importante de la monétisation par porte dérobée
La manière dont les options utilisateur du panneau de contrôle sont configurées a offert aux chercheurs de nombreuses informations sur le « flux de travail et la stratégie commerciale » du groupe, indique le rapport. Par exemple, certaines options de filtrage étaient étiquetées « Vendre » et « Vendre 2 », les victimes de ces groupes ayant les protocoles de bureau à distance (RDP) temporairement désactivés via le panneau.
"Cela signifie probablement que TA505 ne peut pas immédiatement tirer profit de l'exploitation de ces victimes particulières", selon le rapport. "Au lieu de les laisser partir, le groupe a étiqueté les connexions RDP de ces victimes pour les revendre à d'autres cybercriminels."
Le rapport du PTI indique que, sur la base des observations des chercheurs, la structure interne du groupe était « étonnamment désorganisée », mais que ses membres « surveillent toujours attentivement leurs victimes et peuvent faire preuve d'une patience remarquable, en particulier avec des victimes de grande valeur dans le secteur financier ».
L’analyse note en outre que la force du groupe réside dans son agilité, ce qui rend difficile la prévision et la détection de l’activité au fil du temps.
Néanmoins, les attaquants par porte dérobée ne sont pas parfaits, et cela peut offrir quelques indices aux professionnels de la cybersécurité qui cherchent à contrecarrer leurs efforts.
« Le groupe présente cependant quelques faiblesses révélatrices. Bien que TA505 puisse maintenir des connexions cachées sur les appareils des victimes pendant des mois, ses membres sont souvent inhabituellement bruyants », indique le rapport. « Après avoir installé ServHelper, les acteurs malveillants TA505 peuvent se connecter manuellement aux appareils victimes via le tunneling RDP. Les technologies de sécurité capables de détecter ces tunnels peuvent s’avérer vitales pour détecter et atténuer les attaques par porte dérobée du TA505.
L'Evil Corp, lié à la Russie (et sanctionné), a été l'un des groupes les plus prolifiques des cinq dernières années. Selon le gouvernement des États-Unis, le groupe est le cerveau derrière le cheval de Troie financier Dridex et est associé à des campagnes utilisant des variantes de ransomware comme WastedLocker. Il continue également de perfectionner toute une série d’armes pour son arsenal ; la semaine dernière, il est apparu qu’il était associé à Infections du merle des framboises.
PTI utilise TA505 pour suivre la menace, et le consensus est solide mais ce n'est pas universel que TA505 et Evil Corp soient le même groupe. Un rapport du mois dernier du Centre de coordination de la cybersécurité du secteur de la santé (HC3) a déclaré qu’il « ne soutient pas actuellement cette conclusion ».
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
