Détection d’attaque Actor240524 : Un nouveau groupe APT cible les diplomates israéliens et azéris avec les malwares ABCloader et ABCsync
Table des matières :
Les défenseurs ont découvert un groupe APT novateur nommé Actor240524, qui utilise un ensemble d’outils d’adversaire avancés pour échapper à la détection et obtenir une persistance. Au tournant de juillet 2024, les adversaires ont mené une campagne de spear-phishing contre des diplomates d’Azerbaïdjan et d’Israël. Les attaquants ont exploité un document Word malveillant contenant du contenu en azéri et se faisant passer pour de la documentation officielle conçue pour voler des données sensibles aux utilisateurs ciblés.
Détecter l’activité malveillante de Actor240524
L’augmentation continue des attaques de phishing contre les organisations dans divers secteurs d’industrie continue d’être un obstacle majeur pour les défenseurs cybersécurité. L’utilisation de technologies d’IA à des fins offensives a contribué à ce défi, entraînant une augmentation stupéfiante de 856 % des emails malveillants en 2024 et intensifiant le problème. La plate-forme SOC Prime pour la défense cybernétique collective dote les équipes de sécurité d’un ensemble d’algorithmes de détection enrichis en contexte pour les aider à déjouer les nouvelles attaques de phishing, y compris le contenu abordant la récente campagne de spear-phishing par le nouveau groupe APT, Actor240524.
Cliquez sur le Explorer les détections bouton pour accéder aux détections pertinentes filtrées par le tag personnalisé « Actor240524 ». Toutes les règles Sigma sont compatibles avec les technologies SIEM, EDR et Data Lake leader du secteur, alignées sur le cadre MITRE ATT&CK®, et enrichies avec des renseignements sur les menaces sur mesure.
Les ingénieurs en sécurité peuvent également obtenir l’ensemble complet des contenus SOC pour détecter l’activité malveillante associée aux attaques APT en cliquant sur ce lien.
Analyse des attaques Actor240524
Les chercheurs de NSFOCUS Security Labs ont récemment identifié une campagne de spear-phishing novatrice contre des diplomates israéliens et azéris, utilisant des fichiers Word déguisés en documents officiels et intégrés de code macro nuisible. L’analyse des TTP de l’attaquant n’a révélé aucun lien avec des groupes APT connus, permettant aux défenseurs de suivre l’activité de cet adversaire novateur sous le nom d’Actor240524.
La campagne offensive semble se concentrer sur la relation coopérative entre les deux nations, ciblant spécifiquement le personnel diplomatique des deux pays via un vecteur d’attaque de phishing. L’opération d’Actor240524 a utilisé de nouveaux programmes de type Trojan, identifiés comme ABCloader et ABCsync, pour voler des données sensibles tout en échappant à la détection.
La chaîne d’infection commence par un document Word de phishing piégé contenant des images floues. Cliquer déclenche un code macro, qui utilise le programme VBA intégré pour décoder et enregistrer la charge utile malveillante vers un chemin spécifique et exécuter ABCloader. Une fois qu’ABCloader est exécuté, il entraîne le décryptage et la libération de trois fichiers exécutables, puis charge une DLL, le malware ABCsync. Ce dernier se connecte au serveur C2 pour exécuter les tâches correspondantes et propager davantage l’infection.
Le malware ABCsync sert de charge utile d’attaque principale, avec des fonctions majeures incluant l’exécution de shells distants, l’altération des données utilisateur et le vol de fichiers utilisateur du système compromis. Les deux chevaux de Troie utilisent des techniques d’évasion de détection persistantes, y compris le chiffrement d’éléments clés tels que les chaînes et les appels API. De plus, ils surveillent activement l’environnement du processus pour détecter des signes de débogage, tels que le champ BeingDebugged et NtGlobalFlag, et utilisent NtQueryInformationProcess pour détecter les états de débogage, contrecarrant efficacement les efforts d’analyse anti-malware.
Actor240524 tire parti d’une attaque en plusieurs étapes avec un ensemble d’outils offensifs, y compris synchronize.exe, un chargeur similaire à ABCloader, qui se déchiffre pour maintenir la persistance. Les fichiers vcruntime190.dll and vcruntime220.dll détournent des composants système légitimes pour exécuter synchronize.exe, garantissant la présence continue du chargeur dans le système.
L’émergence de groupes de hackers sophistiqués, comme Actor240524, qui expérimentent avec des outils offensifs polyvalents pour maintenir la persistance et permettre le contrôle à distance souligne la nécessité de renforcer les capacités défensives. Comptez sur le Détective d’Attaque de SOC Prime pour améliorer la posture SIEM de votre organisation, déjouer de manière proactive les attaques d’adversaires qui posent le plus de défis à votre entreprise, obtenir une pile de détection priorisée pour des alertes de haute fidélité, et automatiser la routine de chasse aux menaces.
