Un groupe de cybercriminels qui s’exprime en chinois a élargi son champ d’action au continent européen. Il déploie désormais un logiciel malveillant jamais vu auparavant ainsi qu’un cheval de Troie nommé Atlas.
Cet acteur de la menace, identifié sous le nom de TA4922, est lié à des attaques à motivation financière. Son objectif est de pénétrer les réseaux de ses victimes pour commettre des fraudes, voler des données et revendre les accès compromis.
Alors que le groupe ciblait auparavant des organisations d’Asie de l’Est, ses campagnes récentes ont pris pour cible des entités en Allemagne, en Italie, au Royaume-Uni et en Afrique du Sud.
Les experts de l’entreprise de cybersécurité Proofpoint remarquent que TA4922 présente des points communs avec des activités déjà signalées sous les noms de « Silver Fox » et « Void Arachne ». Toutefois, ce groupe est suivi séparément car ses actions correspondent davantage à du cybercrime qu’à de l’espionnage.
Depuis le mois de mars, l’activité de TA4922 a augmenté de manière significative. À partir d’avril, elle a fait preuve d’une diversité opérationnelle et d’un rythme sans précédent.
« TA4922 mène actuellement plus de campagnes distinctes que n’importe quel autre acteur de cybercriminalité suivi dans nos données », indique Proofpoint. « Cela démontre un rythme opérationnel élevé, une variété de leurres et des objectifs multiples. »
« Bien que nous estimions que la motivation soit financière, les capacités des malwares incluent un potentiel de surveillance. Ces outils pourraient être utilisés ou vendus à des groupes d’espionnage. »
L’attaquant utilise des leurres de phishing localisés qui imitent des avis de paie, des audits fiscaux, des déclarations de TVA, des notifications de conformité gouvernementales, des factures ou des communications des ressources humaines.
Le groupe tente aussi de contacter ses victimes via WhatsApp, le messager LINE et Microsoft Teams.
Source : Proofpoint
Atlas RAT et chargeurs personnalisés
Proofpoint rapporte que TA4922 a considérablement élargi son arsenal de logiciels malveillants. Les chercheurs pensent que les pirates pourraient utiliser des modèles de langage étendus pour accélérer le développement de leurs malwares.
Cette conclusion s’appuie sur la présence de valeurs de substitution, de commentaires dans le code et de motifs fréquemment associés à du code généré par l’intelligence artificielle.
Le rapport met en lumière Atlas RAT, un cheval de Troie d’accès à distance récemment identifié. Il offre aux attaquants les capacités suivantes :
- Reconnaissance du système
- Vol ciblé de fichiers
- Téléchargement de plugins et de charges utiles
- Enregistrement des frappes clavier
- Capture d’écrans
- Enregistrement audio et via webcam
- Commandes d’extinction ou de redémarrage du système
Le logiciel malveillant intègre plusieurs vérifications anti-sandbox et anti-analyse. Il recherche par exemple des noms d’utilisateur et des clés de registre liés à Microsoft Defender Application Guard, au service « CExecSvc » et à l’UUID du système d’exploitation.
Source : Proofpoint
Les chercheurs ont aussi découvert un nouveau chargeur de malware nommé RomulusLoader. Il télécharge et exécute des charges supplémentaires en utilisant des techniques de « process hollowing », d’injection de shellcode et d’exécution directe.
RomulusLoader a été déployé pour lancer des outils légitimes de gestion à distance comme AnyDesk et SyncFuture. Ce dernier est un logiciel de surveillance à distance populaire en Chine et a été utilisé, de façon surprenante, dans des attaques visant des entités allemandes.
Source : Proofpoint
Proofpoint a aussi identifié un chargeur et un voleur d’informations écrit en Python, appelé SilentRunLoader. Il dérobe les identifiants, les cookies et les données de navigation de Google Chrome.
Ce malware a été déployé contre des organisations au Royaume-Uni et en Asie du Sud-Est, avec des leurres qui usurpaient l’identité de services gouvernementaux.
Enfin, les chercheurs ont repéré le déploiement de Winos4.0. Il s’agit d’une famille de malwares déjà documentée que Proofpoint suit sous le nom de ValleyRAT. Elle fournit aux opérateurs un ensemble complet de fonctionnalités d’accès à distance.
D’après Proofpoint, TA4922 est responsable de « plus de campagnes distinctes » que tout autre acteur de la menace que l’entreprise suit. Le groupe agit rapidement et utilise de multiples leurres.
Les chercheurs affirment que les capacités des malwares utilisés par cet acteur ont « un potentiel de surveillance qui pourrait être utilisé ou vendu à des groupes d’espionnage. »
Le rapport de Proofpoint inclut des indicateurs de compromission pour les logiciels malveillants et l’infrastructure de commandement et de contrôle utilisée dans les attaques de TA4922.