Les chercheurs de Kaspersky suivent les campagnes d’attaque du groupe de hack-for-hire DeathStalker depuis 2018. Une analyse récente montre que l’acteur de la menace a mis à jour son ensemble d’outils évasifs VileRat pour attaquer les sociétés de crypto-monnaie et de change en Bulgarie, à Chypre, en Allemagne, aux Grenadines et au Koweït. , Malte, les Émirats arabes unis et la Russie en 2022.
DeathStalker est un tristement célèbre acteur APT hack-for-hire que Kaspersky surveille depuis 2018, et qui cible principalement les cabinets d’avocats et les organisations du secteur financier. L’acteur de la menace se démarque puisque ses attaques ne semblent pas motivées politiquement ou financièrement. Les chercheurs de Kaspersky pensent que DeathStalker agit comme une organisation mercenaire, offrant des services spécialisés de piratage ou de renseignement financier.
En 2020, les chercheurs de Kaspersky ont publié un aperçu du profil et des activités malveillantes de DeathStalker, y compris leurs campagnes Janicab, Evilnum, PowerSing et PowerPepper. Les experts ont découvert une nouvelle infection hautement évasive, basée sur l’implant VileRAT Python, à la mi-2020. Ils surveillent de près l’activité de l’acteur depuis et ont découvert qu’il ciblait de manière agressive les sociétés de négoce de devises étrangères (forex) et de crypto-monnaie partout dans le monde en 2022.
VileRat est généralement déployé après une chaîne d’infection complexe, qui commence par des e-mails de harponnage. Cet été européen, les attaquants ont également exploité les chatbots intégrés aux sites Web publics des entreprises ciblées pour envoyer des documents malveillants. Les documents docx sont fréquemment nommés à l’aide des mots clés « conformité » ou « réclamation » (ainsi que le nom de l’entreprise ciblée), suggérant que l’attaquant répond à une demande d’identification ou signale un problème, afin de voiler l’attaque.
La campagne VileRAT se distingue par la sophistication de ses outils et sa vaste infrastructure malveillante (par rapport aux activités DeathStalker précédemment documentées), les nombreuses techniques d’obfuscation utilisées tout au long de l’infection, ainsi que son activité continue et persistante depuis 2020. La campagne VileRAT démontre que DeathStalker fait un effort considérable pour développer et maintenir l’accès à ses cibles. L’objectif possible des attaques va de la diligence raisonnable, du recouvrement d’actifs, de l’assistance en cas de litige ou d’arbitrage, à la résolution de sanctions, mais cela ne semble toujours pas être un gain financier direct.
VileRat ne montre aucun intérêt à cibler des pays particuliers, mais les chercheurs de Kaspersky signalent des attaques avancées aveugles utilisant VileRat dans le monde entier, avec des organisations compromises en Bulgarie, à Chypre, en Allemagne, aux Grenadines, au Koweït, à Malte, aux Émirats arabes unis et en Russie. Les organisations identifiées vont des startups récentes aux leaders établis de l’industrie.
« Échapper à la détection a toujours été un objectif pour DeathStalker, depuis que nous traquons l’auteur de la menace », commente Pierre Delcher, chercheur senior en sécurité chez GReAT de Kaspersky. « Mais la campagne VileRAT a poussé ce désir à un autre niveau : c’est sans aucun doute la campagne la plus complexe, la plus obscurcie et la plus évasive que nous ayons jamais identifiée chez cet acteur.
« Nous pensons que les tactiques et les pratiques de DeathStalker sont suffisantes (et prouvées) pour agir sur des cibles faciles qui ne sont peut-être pas assez expérimentées pour résister à un tel niveau de détermination, et qui n’ont peut-être pas fait de la sécurité l’une des principales priorités de leur organisation, ou qui fréquemment interagir avec des tiers qui ne l’ont pas fait.
