Ces mystérieux pirates ciblent l’aérospatiale et la défense depuis des années

Ces mystérieux pirates ciblent l'aérospatiale et la défense depuis des années

Un groupe de cybercriminels inconnu cible les organisations des industries de l’aviation, de l’aérospatiale, de la défense, des transports et de la fabrication avec des logiciels malveillants de type trojan, dans des attaques qui, selon les chercheurs, durent depuis des années. Baptisée TA2541 et détaillée par les chercheurs en cybersécurité de Proofpoint, l’opération cybercriminelle est active depuis 2017 et a compromis des centaines d’organisations en Amérique du Nord, en Europe et au Moyen-Orient.

Bien que courant depuis des années, les attaques ont à peine évolué, suivant globalement le même ciblage et les mêmes thèmes dans lesquels les attaquants contrôlent à distance les machines compromises, effectuent des reconnaissances sur les réseaux et volent des données sensibles.

« Ce qui est remarquable à propos de TA2541, c’est le peu de changement qu’ils ont apporté à leur approche de la cybercriminalité au cours des cinq dernières années, utilisant à plusieurs reprises les mêmes thèmes, souvent liés à l’aviation, à l’aérospatiale et aux transports, pour distribuer des trojans d’accès à distance », explique Sherrod DeGrippo, vice-président de la recherche sur les menaces et de la détection chez Proofpoint.

« Ce groupe constitue une menace persistante pour les cibles des secteurs du transport, de la logistique et du voyage. » Les attaques commencent par des e-mails de phishing conçus pour être pertinents pour les individus et les entreprises des secteurs ciblés. Par exemple, un leurre envoyé à des cibles du secteur de l’aviation et de l’aérospatiale ressemble à des demandes de pièces d’avion, tandis qu’un autre est conçu pour ressembler à une demande urgente de détails sur un vol d’ambulance aérienne. A un moment donné, les attaquants ont introduit des leurres sur le thème de la Covid-19, mais ceux-ci ont été rapidement abandonnés.

publicité

Un schéma d’attaque bien rodé

Bien que les leurres ne soient pas hautement personnalisés et suivent des modèles réguliers, le nombre de messages envoyés au fil des ans – des centaines de milliers au total – et leur urgence implicite suffisent à tromper les victimes et à les inciter à télécharger des logiciels malveillants. Les messages sont presque toujours en anglais.

TA2541 envoyait initialement des courriels contenant des pièces jointes Microsoft Word chargées de macros qui téléchargeaient la charge utile du cheval de Troie d’accès à distance, mais le groupe a récemment commencé à utiliser les URL de Google Drive et de Microsoft OneDrive, qui mènent à un fichier Visual Basic Script (VBS) malveillant.

L’interaction avec ces fichiers – dont les noms suivent des thèmes similaires à ceux des appâts initiaux – permet d’exploiter les fonctions PowerShell pour télécharger des logiciels malveillants sur des machines Windows compromises. Depuis le début de ces campagnes, les membres de TA2541 ont distribué plus d’une douzaine de charges utiles de Trojan malveillants différents, tous disponibles à l’achat sur les forums du dark web ou pouvant être téléchargés à partir de référentiels open source.

Actuellement, le malware le plus souvent diffusé dans les campagnes menées par TA2541 est AsyncRAT, mais d’autres charges utiles populaires incluent NetWire, WSH RAT et Parallax. Quel que soit le malware utilisé, il sert à prendre le contrôle à distance des machines infectées et à voler des données, bien que les chercheurs notent qu’ils ne savent toujours pas quel est l’objectif ultime du groupe ni d’où il opère. La campagne est toujours active et les attaquants ont prévenu qu’ils continueront à distribuer des courriels de phishing et à diffuser des logiciels malveillants aux victimes du monde entier.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *