Détection de TerraStealerV2 et TerraLogger : L’acteur de menace Golden Chickens derrière les nouvelles familles de logiciels malveillants
Table des matières :
Motivés financièrement, les Golden Chickens groupe, connu pour opérer sous un modèle MaaS, a été lié à deux nouvelles souches malveillantes identifiées, TerraStealerV2 et TerraLogger, ce qui indique les efforts continus du groupe pour améliorer et étendre son ensemble d’outils offensifs. TerraStealerV2 collecte les identifiants des navigateurs, les données des portefeuilles crypto et les détails des extensions de navigateur, tandis que TerraLogger fonctionne comme un enregistreur de frappe autonome, capturant les frappes et stockant les journaux localement. model, has been linked to two newly identified malicious strains, TerraStealerV2 and TerraLogger, which indicates the ongoing group’s efforts to enhance and expand its offensive toolset. TerraStealerV2 collects browser credentials, crypto wallet data, and details from browser extensions, while TerraLogger acts as a standalone keylogger, capturing keystrokes and storing the logs locally.
Détecter les Attaques des Golden Chickens Exploitant les Malwares TerraStealerV2 et TerraLogger
Le rapport du Forum Économique Mondial souligne qu’en 2025, environ 72% des organisations ont constaté une augmentation majeure du risque cybernétique au cours des 12 derniers mois, et 63% ont indiqué que la menace complexe et évolutive était leur plus grand défi pour devenir résistantes aux cyberattaques. Les cybercriminels deviennent de plus en plus innovants, exploitant l’automatisation, les attaques générées par l’IA, les exploits de jour zéro et des tactiques sophistiquées pour percer même les défenses les plus fortifiées.
Inscrivez-vous sur la Plateforme SOC Prime pour dépasser les menaces évolutives comme TerraStealerV2 et TerraLogger des Golden Chickens. Accédez à un ensemble de règles Sigma pertinentes abordant les TTP des attaquants soutenues par une suite de produits complète pour l’ingénierie de détection assistée par l’IA, la chasse aux menaces automatisées et la détection avancée des menaces. Appuyez simplement sur le bouton Explorer les Détections et accédez immédiatement à une pile de détection organisée.
Toutes les règles sont compatibles avec de multiples technologies SIEM, EDR et Data Lake, et mappées à MITRE ATT&CK® pour simplifier l’investigation des menaces. De plus, chaque règle est enrichie avec des métadonnées extensives, y compris des CTI références, des lignes de temps d’attaques, des configurations d’audit, des recommandations de triage, et plus encore.
Les cyberdéfenseurs peuvent rechercher sur le Marché de Détection des Menaces en utilisant les tags “TerraStealerV2” et “TerraLogger” pour suivre les mises à jour des contenus de détection.
De plus, les professionnels de la sécurité peuvent exploiter Uncoder AI – un IDE privé et co-pilote pour l’ingénierie de détection informée par les menaces – maintenant entièrement gratuit et disponible sans limites de jetons sur les fonctionnalités IA. Générez des algorithmes de détection à partir de rapports de menaces bruts, activez des balayages d’IOC rapides dans des requêtes optimisées pour la performance, prédisez les tags ATT&CK, optimisez le code des requêtes avec des conseils IA, traduisez-le entre 48 langues SIEM, EDR, et Data Lake, et plus encore.
Analyse de l’Activité la Plus Récente des Golden Chickens
Les chercheurs du groupe Insikt de Recorded Future ont découvert quelques nouveaux échantillons malveillants liés au groupe Golden Chickens (alias Venom Spider). Connu pour opérer une plateforme MaaS exploitée par des acteurs comme FIN6, le Cobalt Group, et Evilnum, les Golden Chickens semblent élargir activement leur ensemble d’outils pour soutenir le vol d’identifiants et les activités de keylogging.
TerraStealerV2 peut récolter les identifiants des navigateurs et cibler les portefeuilles de crypto-monnaies et les données d’extensions. Le malware a été observé sous diverses formes, telles que LNK, MSI, DLL, et EXE, et utilise des outils Windows légitimes comme regsvr32.exe et mshta.exe pour éviter la détection. Bien qu’il tente d’accéder à la base de données “Login Data” de Chrome, il ne peut pas contourner les protections ABE après juillet 2024, ce qui suggère qu’il est encore en développement ou obsolète.
Une autre souche malveillante récemment observée, TerraLogger, fonctionne comme un simple enregistreur de frappe, utilisant un hook de clavier bas-niveau standard pour enregistrer les frappes et enregistrer les journaux localement. Il manque de fonctionnalités d’exfiltration de données et de C2, ce qui suggère qu’il s’agit soit d’un outil en phase initiale, soit conçu pour fonctionner de manière modulaire dans le cadre de la structure MaaS des Golden Chickens.
Depuis au moins 2018, la suite MaaS des Golden Chickens a été exploitée dans des attaques ciblant des organisations de haut niveau, principalement par le biais de tactiques d’ingénierie sociale, telles que les emails de spearphishing se faisant passer pour des offres d’emploi ou des CV. Les principaux composants de la suite sont VenomLNK et TerraLoader. Les infections commencent généralement par VenomLNK, un raccourci Windows malveillant qui déclenche TerraLoader, qui livre ensuite des charges utiles supplémentaires des Golden Chickens. Celles-ci incluent TerraStealer pour le vol d’identifiants, TerraTV pour détourner les sessions TeamViewer, et TerraCrypt pour déployer des ransomwares. D’autres outils associés au sein de l’écosystème MaaS des Golden Chickens incluent TerraRecon pour la reconnaissance de système, TerraWiper pour la destruction de données, et lite_more_eggs. Fin 2024, les Golden Chickens étaient à l’origine du déploiement du RevC2 backdoor et de Venom Loader, tous deux livrés via VenomLNK.
TerraStealerV2 et TerraLogger semblent toujours en développement actif et manquent de fonctionnalités sophistiquées de furtivité généralement observées dans un ensemble d’outils Golden Chickens plus raffiné. Cependant, compte tenu de l’expertise prouvée du groupe dans la création d’outils de vol d’identifiants et d’accès, ces fonctionnalités devraient se développer davantage. Pour minimiser les risques liés aux attaques des Golden Chickens, les organisations devraient mettre en œuvre des stratégies de cybersécurité proactives pour se défendre contre ces menaces en constante évolution de manière opportune. La Plateforme SOC Prime équipes les équipes de sécurité avec une suite de produits complète pour la défense cyber collective appuyée par l’IA, l’automatisation, et l’intelligence en temps réel pour aider les organisations mondiales à optimiser leurs posture de cybersécurité en fonction des risques.