https://blog.bssi.fr/apt/


Un groupe russe a réussi a voler 3,5 millions de dollars a partir de septembre 2018 , en augmentant la fréquence des cyberattaques, selon une entreprise de cybersécurité de Singapour Group-IB. 

Dénommé Silence, le groupe a été découvert l’année dernier, quand il menait ses actions dans 25 pays post-soviétiques et pays voisins. Cependant, à partir de ce moment, le groupe a répandu ses cyberattaques en dehors de ces territoires partout dans le monde. 

En effet, pendant un an, plus de 16 attaques envers des banques de plus de 30 pays en Europe, Amérique du Sud, Afrique et Asie ont été associés avec le groupe russe. 

La stratégie du groupe repose sur le phising pour le dommage initial, mais à partir d’octobre 2018, il a été observé l’usage des mails pour l’étape initiale de la préparation de l’attaque. Ainsi, le groupe envoie un mail qui a comme sujet « mail delivery failed » qui contient un lien qui permet d’installer un spyware. De cette manière, le groupe a accès à une liste des adresses mails valides et apprennent les solutions de sécurité des entreprises. Group-IB a identifié au moins trois cyber attaques ressenties sur plusieurs continents, avec plus de 170 000 mails envoyés. Le plus grand était celui visant l’Asie, avec 80 000 mails envoyés aux entreprises de Taiwan, Malaysia, Indonesia etc, à partir de novembre 2018. 

Au cours de l’année écoulée, le groupe a également élargi son arsenal d’outils. Ainsi, depuis mai 2019, ils ont commencé à utiliser Ivoke, un chargeur sans fil basé sur PowerShell, au cours de la phase d’infection initiale, en plus du chargeur primaire TrueBot. 

Un autre outil dans l’arsenal c’est EmpireDNSAgent (ou EDA), un agent de PowerShell basé sur les projets Empire et dnscat2, est utilisé dans la phase de déplacement latéral. Le cheval de Troie permet aux attaquants de contrôler les systèmes compromis via un interpréteur de commandes et un tunnel de trafic via le protocole DNS.

Outre son cheval de Troie Atmosphere, conçu pour contrôler à distance les guichets automatiques, le groupe a également commencé à utiliser le cheval de Troie xfs-disp.exe au cours de la phase d’exécution de l’attaque (le programme malveillant aurait été utilisé lors de l’attaque de la banque informatique russe en février 2019).


Christina Nunu
Master 2 Cyberjustice – Promotion 2018-2019

A propos de