Une société de jeux aux Philippines a été la cible d’un acteur menaçant aligné sur la Chine dans le cadre d’une campagne qui se poursuit depuis octobre 2021.
La société slovaque de cybersécurité ESET suit la série d’attaques contre les sociétés de jeux d’argent d’Asie du Sud-Est sous le nom Opération ChattyGoblin.
« Ces attaques utilisent une tactique spécifique : cibler les agents de support des entreprises victimes via des applications de chat – en particulier, les applications Comm100 et LiveHelp100 », ESET a dit dans un rapport partagé avec The Hacker News.
L’utilisation d’un programme d’installation Comm100 contenant un cheval de Troie pour diffuser des logiciels malveillants a été documentée pour la première fois par CrowdStrike en octobre 2022. La société a attribué la compromission de la chaîne d’approvisionnement à un acteur malveillant probablement lié à la Chine.
Les chaînes d’attaque exploitent les applications de chat susmentionnées pour distribuer un dropper C # qui, à son tour, déploie un autre exécutable C #, qui sert finalement de conduit pour déposer une balise Cobalt Strike sur des postes de travail piratés.
Le rapport d’activité APT d’ESET du quatrième trimestre 2022 au premier trimestre 2023 met également en évidence les attaques lancées par les acteurs de la menace liés à l’Inde Donot Team et SideWinder contre les institutions gouvernementales en Asie du Sud.
Une autre série d’attaques limitées a été liée à un autre groupe APT indien appelé Confucius qui est actif depuis au moins 2013 et est censé partager des liens avec le groupe Patchwork. L’auteur de la menace a utilisé par le passé Leurres sur le thème de Pégase et autres documents leurres pour cibler les agences gouvernementales pakistanaises.
La dernière intrusion, selon ESET, impliquait l’utilisation d’un cheval de Troie d’accès à distance appelé Ragnatela, qui est une variante améliorée du BADNEWS RAT.
Ailleurs, la société de cybersécurité a déclaré avoir détecté l’acteur menaçant iranien appelé OilRig (alias Hazel Sandstorm) déployant un implant personnalisé étiqueté Mango dans une société de soins de santé israélienne.
Il convient de noter que Microsoft a récemment attribué Storm-0133, un groupe de menaces émergentes affilié au ministère iranien du Renseignement et de la Sécurité (MOIS), à des attaques ciblant exclusivement les agences gouvernementales locales israéliennes et les entreprises des secteurs de la défense, de l’hébergement et de la santé.
« Le groupe MOIS a utilisé le site Web israélien légitime mais compromis pour le commandement et le contrôle (C2), démontrant une amélioration de la sécurité opérationnelle, car la technique complique les efforts des défenseurs, qui exploitent souvent les données de géolocalisation pour identifier une activité réseau anormale », a noté Microsoft. , soulignant en outre la dépendance de Storm-0133 au malware Mango dans ces intrusions.
ESET a également déclaré qu’un fournisseur indien de services de gestion de données anonyme était la cible d’une attaque montée par le groupe Lazarus soutenu par la Corée du Nord en janvier 2023 à l’aide d’un leurre d’ingénierie sociale sur le thème d’Accenture.
« L’objectif des attaquants était de monétiser leur présence sur le réseau de l’entreprise, très probablement par le biais de la compromission des e-mails professionnels », a déclaré l’entreprise, qualifiant cela de changement par rapport à ses schémas de victimologie traditionnels.
Le groupe Lazarus, en février 2023, aurait également violé un entrepreneur de la défense en Pologne via de fausses offres d’emploi pour lancer une chaîne d’attaque qui arme une version modifiée de SumatraPDF pour déployer un RAT appelé ScoringMathTea et un nom de code téléchargé sophistiqué nommé ImprudentCook.
Pour compléter la liste, une activité de harponnage de groupes APT alignés sur la Russie tels que Gamaredon, Sandworm, Sednit, The Dukes et SaintBear, dont la dernière a été détectée en utilisant une version mise à jour de son Framework de logiciels malveillants Elephant et une nouvelle porte dérobée basée sur Go connue sous le nom d’ElephantLauncher.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
Une autre activité APT notable repérée au cours de la période comprend celle de Winter Vivern et YoroTrooper, qui, selon ESET, chevauche fortement un groupe qu’il suit sous le nom de SturgeonPhisher depuis le début de 2022.
YoroTroper a été soupçonné d’être actif depuis au moins 2021, avec des attaques visant des organisations gouvernementales, énergétiques et internationales à travers l’Asie centrale et l’Europe.
La divulgation publique de ses tactiques en mars 2023 est soupçonnée d’avoir entraîné une « grosse baisse d’activité », ce qui laisse penser que le groupe réorganise actuellement son arsenal et modifie son mode opératoire.
Les découvertes d’ESET suivent celles de Kaspersky Rapport sur les tendances APT pour le premier trimestre 2023qui a déterré un acteur de la menace auparavant inconnu baptisé Trila ciblant des entités gouvernementales libanaises en utilisant « un logiciel malveillant maison qui leur permet d’exécuter à distance des commandes système Windows sur des machines infectées ».
La société russe de cybersécurité a également attiré l’attention sur la découverte d’une nouvelle souche de malware basée sur Lua appelée DreamLand ciblant une entité gouvernementale au Pakistan, marquant l’un des rares cas où un acteur APT a utilisé le langage de programmation dans des attaques actives.
« Le malware est modulaire et utilise le langage de script Lua en conjonction avec son compilateur Just-in-Time (JIT) pour exécuter un code malveillant difficile à détecter », ont déclaré les chercheurs de Kaspersky.
« Il dispose également de diverses capacités anti-débogage et utilise des API Windows via Lua FFI, qui utilise des liaisons en langage C pour mener à bien ses activités. »
