15 mars 2023Ravie LakshmananCyberespionnage / Sécurité des données

Yoro Trooper

Un acteur menaçant auparavant sans papiers surnommé Yoro Trooper cible des organisations gouvernementales, énergétiques et internationales à travers l’Europe dans le cadre d’une campagne de cyberespionnage active depuis au moins juin 2022.

« Les informations volées lors de compromissions réussies incluent les informations d’identification de plusieurs applications, les historiques de navigateur et les cookies, les informations système et les captures d’écran », ont déclaré les chercheurs de Cisco Talos, Asheer Malhotra et Vitor Ventura. a dit dans une analyse de mardi.

Les principaux pays ciblés sont l’Azerbaïdjan, le Tadjikistan, le Kirghizistan, le Turkménistan et d’autres pays de la Communauté des États indépendants (CEI).

On pense que l’acteur de la menace est russophone en raison des schémas de victimologie et de la présence d’extraits cyrilliques dans certains des implants.

Publicité

Cela dit, il a été constaté que l’ensemble d’intrusion YoroTroper présente des chevauchements tactiques avec le L’équipe PoetRAT qui a été documenté en 2020 comme tirant parti d’appâts sur le thème des coronavirus pour frapper les secteurs du gouvernement et de l’énergie en Azerbaïdjan.

Les objectifs de collecte de données de YoroTrooper sont réalisés grâce à une combinaison de logiciels malveillants voleurs de produits de base et open source tels que Avé Maria (alias Warzone RAT), LodaRAT, Meterpreter et Puerles chaînes d’infection utilisant des fichiers de raccourcis malveillants (LNK) et des documents leurres enveloppés dans des archives ZIP ou RAR qui se propagent par harponnage.

Yoro Trooper

Les fichiers LNK fonctionnent comme de simples téléchargeurs pour exécuter un Fichier HTA récupéré à partir d’un serveur distant, qui est ensuite utilisé pour afficher un document PDF leurre, tout en lançant furtivement un compte-gouttes pour fournir un voleur personnalisé qui utilise Telegram comme canal d’exfiltration.

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.

RÉSERVEZ VOTRE PLACE

L’utilisation de LodaRAT est remarquable car elle indique que le logiciel malveillant est utilisé par plusieurs opérateurs malgré son attribution à un autre groupe appelé Kasablanka, qui a également été observé. distribuer l’Ave Maria dans les récentes campagnes ciblant la Russie.

D’autres outils auxiliaires déployés par YoroTrooper consistent en des shells inversés et un enregistreur de frappe personnalisé basé sur C qui est capable d’enregistrer les frappes au clavier et de les enregistrer dans un fichier sur le disque.

« Il convient de noter que si cette campagne a commencé avec la distribution de logiciels malveillants de base tels que Ave Maria et LodaRAT, elle a considérablement évolué pour inclure des logiciels malveillants basés sur Python », ont déclaré les chercheurs.

« Cela met en évidence une augmentation des efforts déployés par l’acteur de la menace, probablement dérivés d’infractions réussies au cours de la campagne. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentTop 10 des séries animées à venir les plus attendues
Article suivantSEVEN VEILS d’Atom Egoyan avec Amanda Seyfried complète le casting
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici