TA547 cible les organisations avec Rhadamanthys Stealer

Sandro Sana : 20 avril 2024 22h22

Le vol d’informations constitue une cybermenace majeure à laquelle sont confrontées les organisations du monde entier. Les « InfoStealers » sont un type de malware qui vise à voler des données sensibles, telles que des identifiants de connexion, des informations bancaires, des cartes de crédit, des documents personnels ou professionnels, etc. Ces données peuvent ensuite être exploitées par des pirates informatiques à diverses fins illicites, comme la vente au marché noir, l’extorsion, la fraude, l’espionnage ou le sabotage. L’un des voleurs d’informations les plus récents et les plus dangereux à avoir frappé les organisations allemandes est le Rhadamanthys Stealer, qui fait partie de l’arsenal du groupe TA547.

Rhadamanthys Stealer est un malware qui appartient à la catégorie des « voleurs d’informations », c’est-à-dire des programmes malveillants qui visent à voler les données sensibles des utilisateurs infectés.

Les voleurs d’informations sont un type de malware spécialisé dans le vol de données sensibles auprès d’utilisateurs infectés. Ces données peuvent inclure des identifiants de connexion, des informations financières, des documents personnels, des images et d’autres fichiers importants. Les voleurs d’informations opèrent furtivement, essayant d’éviter d’être détectés par les antivirus ou les pare-feu. Ils peuvent exploiter diverses techniques pour infiltrer les systèmes informatiques, telles que le phishing, l’exploit, le drive-by download ou le dropper. Une fois installés, les voleurs d’informations surveillent les activités des utilisateurs, capturent les données intéressantes et les transmettent à un serveur distant exploité par des pirates. Les données volées par les voleurs d’informations peuvent être utilisées par des pirates informatiques à des fins frauduleuses, telles que le vol d’identité, la compromission de comptes bancaires, le chantage, l’espionnage ou le sabotage. En outre, les voleurs d’informations peuvent également ouvrir la porte à d’autres cyberattaques plus avancées, telles que des ransomwares, des chevaux de Troie ou des vers. C’est pourquoi il est essentiel de protéger vos appareils et vos réseaux avec des mesures de sécurité adéquates, telles que la mise à jour des logiciels, l’utilisation d’un antivirus, la sauvegarde des données et la formation des utilisateurs.

L’attaque décrite implique plusieurs étapes complexes pour compromettre les systèmes informatiques des organisations cibles :

1. Spam avec pièce jointe de logiciel malveillant: Le groupe TA547 envoie des spams à des organisations allemandes, les déguisant en communications légitimes provenant d’une marque allemande bien connue, telle que Metro Cash et Carry. Ces e-mails contiennent des pièces jointes ou des liens malveillants qui, une fois ouverts ou cliqués, installent le logiciel malveillant Rhadamanthys Stealer sur les systèmes des victimes.
2. Scripts PowerShell basés sur l’IA: La particularité de cette attaque est l’utilisation d’un script PowerShell alimenté par l’intelligence artificielle (IA). Le script peut avoir été créé à l’aide de technologies de génération de langage naturel, telles que ChatGPT, Gemini ou CoPilot, pour accroître l’efficacité de la tromperie et de la distribution de logiciels malveillants.
3. Infiltration du malware Rhadamanthys Stealer: Une fois le script PowerShell exécuté, le malware Rhadamanthys Stealer est installé sur les systèmes des victimes. Ce malware est conçu pour voler des informations sensibles, telles que des mots de passe, des données financières et d’autres informations personnelles, qui peuvent ensuite être utilisées à des fins frauduleuses.
4. Exfiltration de données: Une fois installé, Rhadamanthys Stealer collecte silencieusement les informations sensibles des victimes et les envoie aux attaquants. Cela peut inclure des données sensibles stockées sur des appareils infectés ou des informations échangées lors d’activités en ligne.
5. Persistance et expansion des activités malveillantes: Après une première infiltration réussie, les logiciels malveillants peuvent persister sur les systèmes victimes pendant une période prolongée, permettant aux attaquants de continuer à collecter des données sensibles et d’étendre davantage leurs activités malveillantes.

Ce type d’attaque démontre l’évolution des cybermenaces, avec l’utilisation de plus en plus sophistiquée de l’IA pour accroître l’efficacité et la complexité des opérations criminelles dans le cyberespace.

Selon un rapport de sécurité publié par Proofpoint, une société spécialisée dans les solutions de cybersécurité, le groupe TA547 ciblait spécifiquement les organisations allemandes, notamment les organismes gouvernementaux, les entreprises, les organisations non gouvernementales et les institutions universitaires. Le rapport n’a pas révélé les noms des organisations concernées, mais a indiqué qu’il s’agissait d’entités notables dans le paysage allemand. Les conséquences possibles de cette cyberattaque sont graves, car les données volées peuvent être utilisées à des fins d’usurpation d’identité, de compromission de compte bancaire, de chantage, d’espionnage ou d’autres activités malveillantes. De plus, le malware peut également permettre aux pirates d’accéder à d’autres systèmes informatiques connectés à ceux infectés, élargissant ainsi la portée de l’attaque.

Le groupe TA547, également connu sous le nom de Scully Spider, constitue une cybermenace majeure qui attaque les organisations en Europe et dans d’autres régions. Selon les experts en sécurité, le groupe est actif depuis 2016 et a mené plusieurs campagnes d’attaque avec différents types de logiciels malveillants, tels que des ransomwares, des chevaux de Troie bancaires, des portes dérobées et des voleurs d’informations. Le groupe se concentre sur des cibles de premier plan, telles que les institutions gouvernementales, financières, de santé, éducatives et industrielles. Le groupe utilise des techniques sophistiquées d’ingénierie sociale, d’analyse du contexte et de personnalisation des e-mails pour inciter les victimes à cliquer sur des liens ou des pièces jointes infectés. Le groupe a également démontré sa capacité à adapter ses outils et tactiques en fonction des mesures de défense des organisations cibles. Parmi les différentes organisations allemandes concernées par le groupe TA547 figurent des organismes publics, des sociétés pharmaceutiques, des universités et des sociétés énergétiques. Les conséquences de ces attaques peuvent être graves, tant au niveau économique que national. Les données volées par les pirates peuvent être vendues sur le marché noir, utilisées à des fins d’extorsion, de fraude, d’espionnage ou de sabotage. De plus, le groupe peut utiliser les informations obtenues pour planifier de nouvelles attaques plus ciblées et plus dommageables.

Le groupe a utilisé divers logiciels malveillants pour les systèmes Windows et Android, mais a récemment préféré utiliser le module Rhadamanthys Stealer, qui continue d’étendre ses capacités. Depuis mars de cette année, le groupe a commencé à utiliser un script PowerShell alimenté par l’intelligence artificielle (IA) dans ses activités criminelles, ouvrant ainsi une nouvelle ère dans le domaine de la cybercriminalité, où l’IA devient une arme entre les mains des pirates. Le script a été utilisé dans une campagne de spam en Allemagne, se faisant passer pour une marque allemande bien connue, Metro Cash and Carry. Le but de l’attaque était de distribuer le malware Rhadamanthys dans le but de voler des informations sensibles. L’utilisation de l’IA dans la création du script est mise en évidence par des commentaires détaillés et l’utilisation de hachages, indiquant l’utilisation possible de systèmes similaires à ChatGPT, Gemini ou CoPilot. Cette utilisation de l’IA pourrait indiquer la génération de code avec une grammaire impeccable et des descriptions détaillées, ce qui est rare dans les logiciels malveillants. OpenAI a déclaré avoir pris des mesures pour bloquer les comptes associés à APT qui utilisent leur système à des fins malveillantes. Cependant, il reste incertain selon quels critères l’activité des comptes malveillants sera évaluée. Il est intéressant de noter que, alors que les géants de la cybersécurité sont confrontés à de nouveaux défis, les pirates informatiques continuent de développer leurs propres outils d’IA pour mener des activités criminelles dans le cyberespace.

Pour se protéger de ce type de cyberattaque, il est nécessaire d’adopter certaines mesures de sécurité, tant au niveau individuel qu’organisationnel. Au niveau individuel, il est important d’être prudent avant d’ouvrir des e-mails suspects ou de cliquer sur des liens ou des pièces jointes non vérifiés. De plus, c’est une bonne idée d’utiliser des mots de passe forts et diversifiés pour vos différents comptes en ligne, ainsi qu’un logiciel antivirus et pare-feu à jour. Au niveau organisationnel, il est essentiel d’investir dans des solutions de sécurité avancées, capables de détecter et de bloquer les tentatives d’intrusion, ainsi que de crypter et de protéger les données sensibles. Par ailleurs, il est essentiel de dispenser une formation à vos collaborateurs, pour les sensibiliser aux cyber-risques et aux bonnes pratiques à suivre.