Un groupe soupçonné de menace de cyberespionnage en Asie du Sud, connu sous le nom de Amer a ciblé une organisation turque du secteur de la défense en novembre 2024 pour lui proposer deux familles de logiciels malveillants C++ identifiées comme WmRAT et MiyaRAT.
« La chaîne d’attaque a utilisé des flux de données alternatifs dans une archive RAR pour fournir un fichier de raccourci (LNK) qui a créé une tâche planifiée sur la machine cible pour extraire d’autres charges utiles », ont déclaré les chercheurs de Proofpoint Nick Attfield, Konstantin Klinger, Pim Trouerbach et David Galazin. dit dans un rapport partagé avec The Hacker News.
La société de sécurité d’entreprise suit l’acteur menaçant sous le nom de TA397. Connu pour être actif depuis au moins 2013, l’adversaire est également appelé APT-C-08, APT-Q-37, Hazy Tiger et Orange Yali.
Les attaques précédentes menées par le groupe de piratage ont ciblé entités en Chine, au Pakistan, en Inde, en Arabie saoudite et au Bangladesh avec des logiciels malveillants tels que BitterRAT, ArtraTéléchargeuret ZxxZ, indiquant une forte concentration sur l’Asie.
Bitter a également été lié à des cyberattaques qui ont conduit au déploiement de souches de logiciels malveillants Android telles que PWNDROID2 et Dracarys, selon les rapports de Mûre et Meta en 2019 et 2022, respectivement.
Plus tôt en mars, la société de cybersécurité NSFOCUS révélé qu’une agence gouvernementale chinoise anonyme a été soumise à une attaque de spear phishing par Bitter le 1er février 2024, qui a livré un cheval de Troie capable de voler des données et de contrôler à distance.
La dernière chaîne d’attaque documentée par Proofpoint impliquait que l’acteur malveillant utilisait un leurre concernant des projets d’infrastructures publiques à Madagascar pour inciter les victimes potentielles à lancer la pièce jointe d’archive RAR piégée.
Les archives RAR contenaient un fichier leurre sur une initiative publique de la Banque mondiale à Madagascar pour le développement des infrastructures, un fichier de raccourci Windows se faisant passer pour un PDF et un flux de données alternatif caché (Annonces) fichier contenant le code PowerShell.
ADS fait référence à un fonctionnalité qui a été introduit dans le système de fichiers de nouvelle technologie (NTFS) utilisé par Windows pour joindre et accéder aux flux de données d’un fichier. Il peut être utilisé pour introduire clandestinement des données supplémentaires dans un fichier sans affecter sa taille ou son apparence, offrant ainsi aux acteurs malveillants un moyen sournois de dissimuler la présence d’une charge utile malveillante dans l’enregistrement d’un fichier inoffensif.
Si la victime lance le fichier LNK, l’un des flux de données contient du code pour récupérer un fichier leurre hébergé sur le site de la Banque mondiale, tandis que le second ADS comprend un script PowerShell codé en Base64 pour ouvrir le document leurre et configurer une tâche planifiée responsable. pour récupérer les charges utiles de l’étape finale du domaine Jacknwoods[.]com.
Les deux WmRAT et MiyaRATcomme précédemment détaillé par QiAnXin, sont dotés de capacités standard de cheval de Troie d’accès à distance (RAT), permettant au malware de collecter des informations sur l’hôte, de télécharger des fichiers, de prendre des captures d’écran, d’obtenir des données de géolocalisation, d’énumérer des fichiers et des répertoires et d’exécuter des commandes arbitraires via cmd. exe ou PowerShell.
On pense que l’utilisation de MiyaRAT est réservée à des cibles de grande valeur, car il n’a été déployé de manière sélective que dans une poignée de campagnes.
« Ces campagnes sont presque certainement des efforts de collecte de renseignements destinés à soutenir les intérêts d’un gouvernement sud-asiatique », a déclaré Proofpoint. « Ils utilisent constamment des tâches planifiées pour communiquer avec leurs domaines de test afin de déployer des portes dérobées malveillantes dans les organisations cibles, dans le but d’accéder à des informations privilégiées et à la propriété intellectuelle. »
.png?width=1200&height=630&fit=crop&enable=upscale&auto=webp&w=360&resize=360,180&ssl=1 "Helldivers 2 reçoit le tout premier crossover avec les cosmétiques Killzone 2")
