Des chercheurs en cybersécurité ont découvert un lien entre le célèbre cheval de Troie d'accès à distance DarkGate (RAT) et l'opération de cybercriminalité financière basée au Vietnam derrière le voleur d'informations Ducktail.
Les chercheurs de WithSecure, qui repéré l'activité de Ducktail en 2022, a lancé son enquête sur DarkGate après avoir détecté plusieurs tentatives d'infection contre des organisations au Royaume-Uni, aux États-Unis et en Inde.
« Il est rapidement devenu évident que les documents de leurre et le ciblage étaient très similaires aux récentes campagnes d'infostealer Ducktail, et il a été possible de passer des données open source de la campagne DarkGate à plusieurs autres infostealers qui sont très probablement utilisés par le même acteur/groupe. », note le rapport.
Les liens de DarkGate avec Ducktail
DarkGate est malware de porte dérobée capable d'un large éventail d'activités malveillantes, notamment le vol d'informations, le cryptojacking et l'utilisation de Skype, Teams et Messages pour distribuer des logiciels malveillants.
Le logiciel malveillant peut voler diverses données sur les appareils infectés, notamment les noms d'utilisateur, les mots de passe, les numéros de carte de crédit et d'autres informations sensibles, et être utilisé pour extraire des cryptomonnaies sur des appareils infectés à l'insu ou sans le consentement de l'utilisateur.
Il peut être utilisé pour transmettre un ransomware aux appareils infectés, en chiffrant les fichiers de l'utilisateur et en exigeant le paiement d'une rançon pour les décrypter.
Stephen Robinson, analyste principal des renseignements sur les menaces chez WithSecure, explique qu'à un niveau élevé, la fonctionnalité des logiciels malveillants DarkGate n'a pas changé depuis le rapport initial en 2018.
« Cela a toujours été un couteau suisse, un malware multifonctionnel », dit-il. "Cela dit, il a été mis à jour et modifié à plusieurs reprises par l'auteur depuis lors, ce qui, nous pouvons supposer, a été d'améliorer la mise en œuvre de ces fonctions malveillantes et de suivre la course aux armements en matière de détection AV/Malware."
Il note que les campagnes DarkGate (et les acteurs qui les sous-tendent) peuvent être différenciées par les personnes qu'elles ciblent, les leurres et les vecteurs d'infection qu'elles utilisent, ainsi que leurs actions sur la cible.
« Le cluster vietnamien spécifique sur lequel le rapport se concentre a utilisé le même ciblage, les mêmes noms de fichiers et même les mêmes fichiers de leurre pour plusieurs campagnes utilisant plusieurs souches de logiciels malveillants », explique Robinson.
Ils ont créé des fichiers leurre PDF à l'aide d'un service en ligne qui ajoute ses propres métadonnées à chaque fichier créé ; ces métadonnées ont établi des liens encore plus forts entre les différentes campagnes.
Ils ont également créé plusieurs fichiers LNK malveillants sur le même appareil et n'ont pas effacé les métadonnées, permettant ainsi de regrouper d'autres activités.
La corrélation entre DarkGate et Ducktail a été déterminée à partir de marqueurs non techniques tels que des fichiers de leurres, des modèles de ciblage et des méthodes de livraison, rassemblés dans un document de 15 pages. rapport.
« Les indicateurs non techniques tels que les fichiers leurres et les métadonnées sont des indices médico-légaux très percutants. Les fichiers leurres, qui servent d'appât pour inciter les victimes à exécuter le malware, offrent des informations inestimables sur le mode opératoire d'un attaquant, ses cibles potentielles et l'évolution de ses techniques », explique Callie Guenther, directrice principale de la recherche sur les cybermenaces chez Critical Start.
De même, les métadonnées – des informations telles que « LNK Drive ID » ou des détails provenant de services comme Canva – peuvent laisser des traces ou des modèles perceptibles qui peuvent persister au travers de différentes attaques ou d’acteurs spécifiques.
« Ces modèles cohérents, une fois analysés, peuvent combler le fossé entre diverses campagnes, permettant aux chercheurs de les attribuer à un auteur commun, même si l'empreinte technique du malware diffère », explique-t-elle.
Ngoc Bui, expert en cybersécurité chez Menlo Security, affirme qu'il est essentiel de comprendre les relations entre les différentes familles de logiciels malveillants liées aux mêmes acteurs de la menace.
« Cela aide à établir un profil de menace plus complet et à identifier les tactiques et les motivations de ces acteurs malveillants », explique Bui.
Par exemple, si les chercheurs trouvent des liens entre DarkGate, Ducktail, Lobshot et Redline Stealer, ils pourront peut-être conclure qu'un seul acteur ou groupe est impliqué dans plusieurs campagnes, ce qui suggère un haut niveau de sophistication.
« Cela peut également aider les analystes à déterminer si plusieurs groupes de menaces travaillent ensemble, comme nous le voyons avec les campagnes et les efforts de ransomware », ajoute Bui.
Le MaaS a un impact sur le paysage des cybermenaces
Bui souligne que la disponibilité de DarkGate en tant que service a des implications importantes pour le paysage de la cybersécurité.
« Cela réduit les barrières d’entrée pour les aspirants cybercriminels qui manquent d’expertise technique », explique Bui. « En conséquence, davantage d’individus ou de groupes peuvent accéder et déployer des logiciels malveillants sophistiqués comme DarkGate, augmentant ainsi le niveau de menace global. »
Bui ajoute que les offres de logiciels malveillants en tant que service (MaaS) offrent aux cybercriminels un moyen pratique et rentable de mener des attaques.
Pour un analyste en cybersécurité, cela représente un défi car il doit continuellement s'adapter aux nouvelles menaces et envisager la possibilité que plusieurs acteurs malveillants utilisent le même service de malware.
Cela peut également rendre un peu plus difficile le suivi de l'auteur de la menace utilisant le logiciel malveillant, car le logiciel malveillant lui-même peut se regrouper vers le développeur et non vers l'acteur de la menace utilisant le logiciel malveillant.
Changement de paradigme en défense
Guenther affirme que pour mieux comprendre le paysage moderne et en constante évolution des cybermenaces, un changement de paradigme dans les stratégies de défense est grand temps.
« L'adoption de séquences de détection basées sur le comportement, ainsi que l'exploitation de l'IA et du ML, permettent d'identifier les comportements anormaux du réseau, dépassant ainsi les limites précédentes des méthodes basées sur les signatures », dit-elle.
En outre, la mise en commun des renseignements sur les menaces et la promotion de la communication sur les menaces et les tactiques émergentes dans tous les secteurs verticaux peuvent catalyser une détection et une atténuation précoces.
« Des audits réguliers, englobant les configurations réseau et les tests d'intrusion, peuvent détecter de manière préventive des vulnérabilités », ajoute Guenther. « De plus, une main-d'œuvre bien informée, formée à la reconnaissance des menaces contemporaines et des vecteurs de phishing, devient la première ligne de défense d'une organisation, réduisant ainsi considérablement le quotient de risque. »
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :possède
- :est
- :ne pas
- $UP
- 2018
- 7
- a
- Capable
- Qui sommes-nous
- accès
- à travers
- Agis
- actes
- activités
- activité
- acteurs
- adapter
- Ajoute
- Après
- à opposer à
- AI
- permet
- aussi
- toujours
- an
- analyste
- Analystes
- analysé
- ainsi que les
- apparent
- SONT
- Avant-Bras
- AS
- en herbe
- assumer
- At
- Attaques
- Tentatives
- audits
- auteur
- disponibilité
- RETOUR
- appât
- une barrière
- BE
- est devenu
- car
- devient
- était
- comportements
- derrière
- va
- Améliorée
- jusqu'à XNUMX fois
- PONT
- Développement
- by
- Campagne
- Campagnes
- CAN
- capable
- carte
- catalyser
- challenge
- modifié
- Grappe
- Commun
- Communication
- comprendre
- complet
- conclut
- Conduire
- connexion
- Connexions
- consentement
- Considérer
- cohérent
- contemporain
- continuellement
- Pratique
- Corrélation
- rentable
- créée
- crédit
- carte de crédit
- critique
- crypto-monnaie
- Cryptojacking
- cyber
- la cybercriminalité
- les cybercriminels
- Cybersécurité
- données
- Décrypter
- Défense
- livrer
- page de livraison.
- exigeant
- déployer
- détails
- Détection
- Déterminer
- déterminé
- Développeur
- dispositif
- Compatibles
- DID
- différent
- différencié
- difficile
- distribuer
- INSTITUTIONNELS
- motivation
- chacun
- "Early Bird"
- efforts
- embrassement
- permettant
- englobant
- entrée
- essential
- Pourtant, la
- évolution
- exemple
- exécution
- expert
- nous a permis de concevoir
- Explique
- familles
- Déposez votre dernière attestation
- Fichiers
- la traduction de documents financiers
- Trouvez
- Prénom
- se concentre
- numérique
- Pour
- Légal
- favoriser
- de
- fonctions
- plus
- écart
- a donné
- Réservation de groupe
- Groupes
- Vous avez
- he
- vous aider
- aide
- Haute
- très
- HTTPS
- ID
- Identification
- identifier
- if
- percutants
- Impacts
- la mise en oeuvre
- implications
- améliorer
- in
- Y compris
- croissant
- Inde
- Indicateurs
- individus
- industrie
- d'information
- initiale
- idées.
- Intelligence
- développement
- inestimable
- enquête
- impliqué
- IT
- SES
- lui-même
- jpg
- XNUMX éléments à
- spécialisées
- Peindre
- paysage d'été
- Laisser
- Niveau
- en tirant parti
- comme
- Probable
- limites
- Gamme
- lié
- Gauche
- peu
- a prendre une
- malware
- Logiciels malveillants en tant que service (MaaS)
- manager
- Mai..
- veux dire
- messages
- Métadonnées
- méthodes
- pourrait
- atténuation
- ML
- Villas Modernes
- modifié
- Modus
- PLUS
- Par ailleurs
- motivations
- plusieurs
- must
- noms
- réseau et
- Nouveauté
- noté
- Notes
- célèbre
- numéros
- of
- code
- Offrandes
- on
- ONE
- en ligne
- ouvert
- open source
- opération
- or
- organisation
- organisations
- Autre
- ande
- global
- propre
- paradigme
- mots de passe
- motifs
- Paiement
- pénétration
- phishing
- Pivoter
- Platon
- Intelligence des données Platon
- PlatonDonnées
- des notes bonus
- pose
- possibilité
- possible
- défaillances
- précédent
- Profil
- fournir
- Race
- gamme
- Ransom
- ransomware
- rapidement
- RAT
- récent
- reconnaissant
- réduire
- Standard
- Les relations
- éloigné
- accès à distance
- À PLUSIEURS REPRISES
- rapport
- Rapports
- un article
- chercheurs
- résultat
- Analyse
- s
- Saïd
- même
- dit
- sécurité
- sur le lien
- supérieur
- sensible
- service
- Services
- elle
- décalage
- significative
- similaires
- depuis
- unique
- Skype
- sophistiqué
- sophistication
- Identifier
- groupe de neurones
- Commencer
- j'ai commencé
- Stephen
- Variétés de Cannabis
- les stratégies
- STRONG
- substantiellement
- tel
- Suggère
- incomparable
- tactique
- Target
- ciblage
- objectifs
- équipes
- Technique
- techniques
- tests
- que
- qui
- Les
- au Royaume-Uni
- leur
- Les
- puis
- Ces
- l'ont
- this
- ceux
- menace
- acteurs de la menace
- des menaces
- Avec
- Cravates
- à
- ensemble
- Tracking
- qualifié
- Trojan
- Uk
- découvert
- compréhension
- a actualisé
- us
- d'utiliser
- Utilisateur
- en utilisant
- variété
- verticales
- très
- victimes
- vietnamien
- vulnérabilités
- était
- we
- WELL
- ont été
- quand
- qui
- WHO
- large
- Large gamme
- Essuyer
- comprenant
- sans
- Nos inspecteurs
- de travail
- zéphyrnet