Des entités en Arménie ont subi une cyberattaque en utilisant une version mise à jour d’une porte dérobée appelée OxtaRAT qui permet l’accès à distance et la surveillance du bureau.
« Les capacités de l’outil incluent la recherche et l’exfiltration de fichiers de la machine infectée, l’enregistrement de la vidéo à partir de la caméra Web et du bureau, le contrôle à distance de la machine compromise avec TightVNC, l’installation d’un shell Web, l’analyse des ports, etc. », Check Point Research a dit dans un rapport.
La dernière campagne aurait commencé en novembre 2022 et marque la première fois que les acteurs de la menace derrière l’activité ont étendu leur champ d’action au-delà de l’Azerbaïdjan.
« Les acteurs de la menace derrière ces attaques ciblent les organisations de défense des droits de l’homme, les dissidents et les médias indépendants en Azerbaïdjan depuis plusieurs années », a noté la société de cybersécurité, appelant la campagne Operation Silent Watch.
Les intrusions de fin 2022 sont importantes, notamment en raison des changements dans la chaîne d’infection, des mesures prises pour améliorer la sécurité opérationnelle et équiper la porte dérobée de plus de munitions.
Le point de départ de la séquence d’attaque est une archive auto-extractible qui imite un fichier PDF et porte une icône PDF. Le lancement du prétendu « document » ouvre un fichier leurre tout en exécutant furtivement un code malveillant caché dans une image.
Un fichier polyglotte qui combine un script AutoIT compilé et une image, OxtaRAT propose des commandes qui permettent à l’auteur de la menace d’exécuter des commandes et des fichiers supplémentaires, de récolter des informations sensibles, d’effectuer une reconnaissance et une surveillance via une caméra Web, et même de pivoter vers d’autres.
OxtaRAT a été mettre à profit par le adversaire dès juin 2021, bien qu’avec des fonctionnalités considérablement réduites, ce qui indique une tentative de mettre à jour constamment son ensemble d’outils et de le transformer en un malware de couteau suisse.
L’attaque de novembre 2022 se démarque également pour un certain nombre de raisons. La première est que les fichiers .SCR qui activent la chaîne de destruction contiennent déjà l’implant OxtaRAT au lieu d’agir comme un téléchargeur pour récupérer le malware.
« Cela évite aux acteurs d’avoir à faire des demandes supplémentaires de fichiers binaires au serveur C&C et d’attirer une attention inutile, tout en empêchant le principal logiciel malveillant d’être facilement découvert sur la machine infectée, car il ressemble à une image normale et contourne les spécificités de type. protections », a expliqué Check Point.
Le deuxième aspect frappant est le géorepérage des domaines de commande et de contrôle (C2) qui hébergent les outils auxiliaires des adresses IP arméniennes.
Il convient également de noter la capacité d’OxtaRAT à exécuter des commandes pour l’analyse des ports et à tester la vitesse d’une connexion Internet, cette dernière étant probablement utilisée comme un moyen de masquer l’exfiltration « étendue » des données.
« OxtaRAT, qui disposait auparavant principalement de capacités de reconnaissance et de surveillance locales, peut désormais être utilisé comme pivot pour la reconnaissance active d’autres appareils », a déclaré Check Point.
« Cela peut indiquer que les acteurs de la menace se préparent à étendre leur principal vecteur d’attaque, qui est actuellement l’ingénierie sociale, aux attaques basées sur les infrastructures. Cela pourrait également être un signe que les acteurs passent du ciblage des individus au ciblage d’environnements plus complexes ou d’entreprise. . »
« Les acteurs de la menace sous-jacente ont maintenu le développement de logiciels malveillants basés sur Auto-IT au cours des sept dernières années et les utilisent dans des campagnes de surveillance dont les cibles sont compatibles avec les intérêts azerbaïdjanais. »
