Kaspersky détecte des cyberattaques qui ont ciblé des entités diplomatiques marocaines

Les opérations de surveillance menées par le groupe spécialisé en cybersécurité Kaspersky ont révélé que plusieurs institutions de premier plan et des structures stratégiques au Maroc et dans d’autres pays, ont été les cibles d’attaques menées par le groupe de hackers SideWinder. Selon une étude publiée cette semaine par les chercheurs de Kaspersky, Giampaolo Dedola et Vasily Berdnikov, « de nouvelles vagues d'attaques qui ont montré une expansion significative des activités du groupe », ont récemment été observées.

SideWinder, également connu sous les noms de T-APT-04 ou RattleSnake, est l'un des groupes APT ( advanced persistent threat, ou menace persistante avancée, qui est une cyberattaque ciblée et prolongée au cours de laquelle une personne non autorisée accède au réseau et passe inaperçue) les plus prolifiques. Le groupe, explique la même source, a commencé ses activités en 2012 et a mené au fil des années des attaques contre des entités de haut niveau en Asie du Sud et du Sud-Est, avec comme cibles principales des entités militaires et gouvernementales au Pakistan, au Sri Lanka, en Chine et au Népal.

Le groupe a cependant commencé à étendre son champ d'action. Selon les mêmes chercheurs, les attaques ont commencé à affecter des entités de haut niveau et des infrastructures stratégiques au Moyen-Orient et en Afrique. Celles-ci incluent des entités gouvernementales et militaires, des entreprises de logistique, des infrastructures et des sociétés de télécommunications, des institutions financières, des universités et des entreprises de négoce de pétrole situées au Bangladesh, à Djibouti, en Jordanie, en Malaisie, aux Maldives, en Birmanie, au Népal, au Pakistan, en Arabie Saoudite, au Sri Lanka, en Turquie et aux Émirats Arabes Unis. SideWinder a également été observé en train de viser des entités diplomatiques au Maroc, en Afghanistan, en France, en Chine, en Inde et en Indonésie.

« Le groupe peut être perçu comme un acteur peu qualifié en raison de l'utilisation d'exploits publics, de fichiers LNK malveillants (fichiers raccourcis qui sont liés à une application ou à un fichier généralement situé sur le bureau d'un utilisateur) et de scripts comme vecteurs d'infection, ainsi que de l'utilisation de RAT publics (remote access trojan, ou cheval de Troie informatique), mais leurs véritables capacités ne deviennent évidentes que lorsque l'on examine attentivement les détails de leurs opérations », soulignent les chercheurs de Kaspersky.

Les attaques de SideWinder commencent généralement par un email de spear-phishing (cyberattaque basée sur l'usurpation d'identité) avec une pièce jointe, souvent un document Microsoft ou une archive ZIP, qui contient à son tour un fichier LNK malveillant. Le document ou le fichier LNK déclenche une chaîne d'infection multi-étapes avec divers téléchargeurs JavaScript et .NET, qui se termine par l'installation de l'outil d'espionnage StealerBot, détaillent les deux auteurs. Ces documents contiennent souvent des informations obtenues à partir de sites web publics, utilisées pour inciter la victime à ouvrir le fichier en le croyant légitime. « Nous avons également découvert un kit d'outils de post-exploitation jusqu'alors inconnu, appelé StealerBot, un implant modulaire avancé conçu spécifiquement pour des activités d'espionnage, que nous croyons actuellement être le principal outil de post-exploitation utilisé par SideWinder sur des cibles d'intérêt », ajoutent-t-ils.

Plusieurs outils et différentes techniques sont utilisées pour installer des fichiers malveillants sur les systèmes ciblés. Ces fichiers sont « configurés pour exécuter des commandes arbitraires sur le système compromis  ». Ils permettent aussi de télécharger et exécuter des binaires malveillants à partir de serveurs distants, établissant ainsi un accès persistant et évitant la détection. Ils peuvent être utilisés « comme une porte dérobée passive, écoutant sur l'interface de boucle locale et connectée pour recevoir des commandes et traiter des commandes personnalisées », alerte la même source.

©️ Copyright Pulse Media. Tous droits réservés.
Reproduction et diffusions interdites (photocopies, intranet, web, messageries, newsletters, outils de veille) sans autorisation écrite.