24 avril 2023Ravie LakshmananCyber-espionnage

Hackers Russes

L’acteur menaçant russophone derrière une porte dérobée connue sous le nom de Tomiris se concentre principalement sur la collecte de renseignements en Asie centrale, révèlent de nouvelles découvertes de Kaspersky.

« La fin de partie de Tomiris semble toujours être le vol régulier de documents internes », ont déclaré Pierre Delcher et Ivan Kwiatkowski, chercheurs en sécurité. a dit dans une analyse publiée aujourd’hui. « L’acteur de la menace cible les entités gouvernementales et diplomatiques dans la CEI. »

La dernière évaluation de la société russe de cybersécurité est basée sur trois nouvelles campagnes d’attaques montées par l’équipe de piratage entre 2021 et 2023.

Tomiris a été révélé pour la première fois en septembre 2021 lorsque Kaspersky a mis en évidence ses liens potentiels avec Nobelium (alias APT29, Cozy Bear ou Midnight Blizzard), le groupe d’États-nations russe à l’origine de l’attaque de la chaîne d’approvisionnement SolarWinds.

Publicité

Des similitudes ont également été découvertes entre la porte dérobée et une autre souche de malware appelée Kazuar, qui est attribuée au groupe Turla (alias Krypton, Secret Blizzard, Venomous Bear ou Uroburos).

Les attaques de harponnage montées par le groupe ont exploité un « ensemble d’outils polyglottes » comprenant une variété d’implants « brûleurs » peu sophistiqués qui sont codés dans différents langages de programmation et déployés à plusieurs reprises contre les mêmes cibles.

Outre l’utilisation d’outils offensifs open source ou disponibles dans le commerce, l’arsenal de logiciels malveillants personnalisés utilisé par le groupe appartient à l’une des trois catégories : téléchargeurs, portes dérobées et voleurs d’informations –

  • Télémiris – Une porte dérobée Python qui utilise Telegram comme canal de commande et de contrôle (C2).
  • Roopy – Un voleur de fichiers basé sur Pascal conçu pour aspirer les fichiers d’intérêt toutes les 40 à 80 minutes et les exfiltrer vers un serveur distant.
  • JLORAT – Un voleur de fichiers écrit en Rust qui rassemble des informations système, exécute des commandes émises par le serveur C2, télécharge et télécharge des fichiers et capture des captures d’écran.

L’enquête de Kaspersky sur les attaques a en outre identifié des chevauchements avec un cluster Turla suivi par Mandiant appartenant à Google sous le nom UNC4210, révélant que l’implant QUIETCANARY (alias TunnusSched) avait été déployé contre une cible gouvernementale dans la CEI au moyen de Telemiris.

« Plus précisément, le 13 septembre 2022, vers 05h40 UTC, un opérateur a tenté de déployer plusieurs implants Tomiris connus via Telemiris : d’abord un chargeur Python Meterpreter, puis JLORAT et Roopy », expliquent les chercheurs.

WEBINAIRE À VENIR

Zero Trust + Deception : apprenez à déjouer les attaquants !

Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !

Sauvez ma place !

« Ces efforts ont été contrecarrés par les produits de sécurité, ce qui a conduit l’attaquant à faire des tentatives répétées, à partir de divers endroits sur le système de fichiers. Toutes ces tentatives se sont soldées par un échec. Après une pause d’une heure, l’opérateur a réessayé à 07h19 UTC, ce temps à l’aide d’un échantillon TunnusSched/QUIETCANARY. L’échantillon TunnusSched a également été bloqué. »

Cela dit, malgré les liens potentiels entre les deux groupes, Tomiris serait séparé de Turla en raison de différences de ciblage et d’artisanat, ce qui soulève une fois de plus la possibilité d’une opération sous fausse bannière.

D’autre part, il est également très probable que Turla et Tomiris collaborent sur certaines opérations ou que les deux acteurs s’appuient sur un fournisseur de logiciels commun, comme en témoigne l’utilisation par les agences de renseignement militaires russes d’outils fournis par un sous-traitant informatique basé à Moscou nommé NTC. Vulcain.

« Dans l’ensemble, Tomiris est un acteur très agile et déterminé, ouvert à l’expérimentation », ont déclaré les chercheurs, ajoutant qu' »il existe une forme de coopération délibérée entre Tomiris et Turla ».

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


5/5 - (35 votes)
Publicité
Article précédentChatGPT coûte 700 000 $ par jour pour fonctionner, selon de nouvelles recherches
Article suivantLes meilleures façons de protéger votre base Minecraft !
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici