Russian-Malware

Les chercheurs en cybersécurité ont aujourd’hui dévoilé une porte dérobée et un voleur de documents jusqu’alors non documentés qui ont été déployés contre des cibles spécifiques de 2015 au début de 2020.

Nom de code « Béquille« par les chercheurs d’ESET, le malware a été attribué à Turla (alias Venomous Bear ou Snake), un groupe de hackers avancé basé en Russie, connu pour ses attaques massives contre les gouvernements, les ambassades et les organisations militaires à travers diverses campagnes de point d’eau et de harponnage.

« Ces outils ont été conçus pour exfiltrer des documents sensibles et d’autres fichiers vers des comptes Dropbox contrôlés par les opérateurs Turla », a déclaré la société de cybersécurité dans une analyse partagée avec The Hacker News.

Les implants de porte dérobée ont été secrètement installés sur plusieurs machines appartenant au ministère des Affaires étrangères dans un pays anonyme de l’Union européenne.

En plus d’identifier des liens solides entre un échantillon de Crutch de 2016 et une autre porte dérobée de deuxième étape de Turla appelée Gazer, le dernier malware dans sa panoplie d’outils diversifiée souligne la concentration continue du groupe sur l’espionnage et la reconnaissance contre des cibles de premier plan.

Publicité

La béquille est livrée soit via le Skipper suite, un implant de premier stade précédemment attribué à Turla, ou un agent de post-exploitation appelé Empire PowerShell, avec deux versions différentes du malware repérées avant et après mi-2019.

Alors que la première incluait une porte dérobée qui communique avec un compte Dropbox codé en dur utilisant l’API HTTP officielle pour recevoir des commandes et télécharger les résultats, la nouvelle variante (« Crutch v4 ») évite la configuration pour une nouvelle fonctionnalité qui peut télécharger automatiquement les fichiers trouvés sur lecteurs locaux et amovibles vers Dropbox à l’aide de l’utilitaire Windows Wget.

«La sophistication des attaques et les détails techniques de la découverte renforcent encore la perception que le groupe Turla dispose de ressources considérables pour exploiter un arsenal aussi vaste et diversifié», a déclaré Matthieu Faou, chercheur à ESET.

« De plus, Crutch est capable de contourner certaines couches de sécurité en abusant de l’infrastructure légitime – ici, Dropbox – afin de se fondre dans le trafic réseau normal tout en exfiltrant les documents volés et en recevant les commandes de ses opérateurs. »


Rate this post
Publicité
Article précédent10 conseils essentiels de conception d’interface utilisateur pour les concepteurs Web
Article suivantMSI GeForce RTX 3060 Ti Gaming X Trio Critique
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici