L'acteur APT DeathStalker cible les entreprises du marché du forex et de la crypto-monnaie. L'ensemble d'outils de technologie évasive et furtif "VileRAT" est distribué via le spear phishing. Des entreprises en Allemagne sont également touchées par les attentats.
L'acteur de la menace DeathStalker a mis à jour son ensemble d'outils d'évasion technologique et furtive "VileRAT" pour attaquer les entreprises de crypto-monnaie et d'échange de devises, selon une récente analyse de Kaspersky. Les organisations attaquées sont situées en Bulgarie, à Chypre, en Allemagne, au Koweït, à Malte, aux Émirats arabes unis, en Russie et aux Grenadines.
Acteur APT hack-for-hire
DeathStalker est un acteur APT hack-for-hire dont Kaspersky suit les activités depuis 2018. Jusqu'à présent, il a principalement ciblé des cabinets d'avocats et des organisations du secteur financier; les attaques semblaient n'avoir aucune motivation politique ou financière. Les experts de Kaspersky pensent que DeathStalker agit comme une sorte de groupe de mercenaires offrant des services spécialisés de piratage ou de renseignement financier. À la mi-2020, Kaspersky a pu identifier une nouvelle infection hautement évasive basée sur l'implant Python "VileRAT". Depuis lors, les experts ont suivi de près les activités du joueur et ont noté qu'en 2022, il se concentre intensément sur les sociétés de change (FOREX) et de crypto-monnaie à travers le monde.
VileRAT est généralement déployé après une chaîne d'infection compliquée qui commence par des e-mails de spear phishing. Cet été, les attaquants ont également utilisé des chatbots intégrés dans les sites Web publics des entreprises concernées pour envoyer des documents malveillants. Les documents DOCX sont souvent marqués avec les mots-clés "Conformité" ou "Réclamation" (et le nom de l'entreprise cible) et prétendent être des réponses à de supposées demandes d'identification ou à des rapports de problème.
Des outils raffinés qui se camouflent
La campagne VileRAT se distingue par la sophistication des outils utilisés et l'énorme infrastructure malveillante qui la sous-tend (par rapport aux activités DeathStalker précédemment documentées), les nombreuses techniques d'obfuscation utilisées tout au long de l'infection, ainsi que son activité continue et soutenue depuis 2020. La campagne actuelle montre que DeathStalker se donne beaucoup de mal pour gagner puis accéder à ses cibles. Les objectifs possibles des attaques vont de la diligence raisonnable, du recouvrement d'avoirs, de l'assistance en cas de litige ou d'arbitrage au contournement des sanctions ; le gain financier direct ne semble toujours pas en faire partie.
VileRaT ne montre aucun intérêt particulier pour certains pays ; au lieu de cela, les chercheurs de Kaspersky signalent des organisations touchées en Bulgarie, à Chypre, en Allemagne, au Koweït, à Malte, aux Émirats arabes unis, en Russie et aux Grenadines. Les organisations identifiées sont de toutes tailles, des start-up nouvellement formées aux leaders établis de l'industrie.
tromper, camoufler, cacher
"Le but de DeathStalker a toujours été d'échapper à la détection", explique Pierre Delcher, chercheur senior en sécurité au sein de la Global Research & Analysis Team (GReAT) de Kaspersky. "La campagne VileRAT a maintenant porté le tout à un nouveau niveau. En termes de complexité et d'obscurcissement, c'est sans aucun doute la campagne la plus exigeante que nous ayons vue de ce joueur. Les tactiques et les pratiques de DeathStalker sont efficaces pour attaquer des cibles plus faciles. Il se peut qu'ils ne soient pas suffisamment expérimentés pour résister à une telle attaque, qu'ils n'aient pas fait de la sécurité une priorité absolue pour leur organisation ou qu'ils interagissent fréquemment avec des tiers qui ne l'ont pas encore fait.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/