Les Hackers de TA551 Diffusent le Cheval de Troie IcedID dans une Nouvelle Vague de Campagne de Malspam
Table des matières :
À partir de juillet 2020, les chercheurs en sécurité observent des changements notables mis en œuvre dans la routine malspam TA551 (alias Shathak). Les acteurs de la menace derrière la campagne TA551 sont passés de la distribution d’Ursnif et Valak à des infections par le cheval de Troie bancaire IcedID.
Aperçu de TA551
TA551 est une campagne de malspam de longue durée qui a émergé en février 2019. Initialement, elle était axée sur la livraison du cheval de Troie bancaire Ursnif (Gozi/Gozi-ISFB) à des victimes anglophones. Cependant, à la fin de 2019, les chercheurs ont observé que Valak et IcedID étaient régulièrement récupérés comme logiciels malveillants de seconde étape. Le public s’est également élargi tout au long de 2019 en ciblant des victimes allemandes, italiennes et japonaises. En 2020, TA551 a abandonné Ursnif et s’est concentré sur le chargeur Valak. TA551 a exclusivement promu Valak jusqu’en juillet 2020, avec le malware ZLoader (Terdot, DELoader) rarement déployé également. Finalement, au T2 2020, TA551 est passé à la propagation du cheval de Troie bancaire IcedID.
La routine malveillante de TA551 repose sur les chaînes d’emails usurpés utilisées comme appât. Ces chaînes d’emails sont récupérées à partir d’hôtes Windows précédemment compromis et ensuite envoyées aux destinataires originaux. Les emails de malspam affichent un texte convaincant demandant à la victime d’extraire une archive ZIP protégée par mot de passe. Dans le cas où une victime est trompée, l’archive fait apparaître un fichier Word contenant des macros. Une fois activées, les macros déposent l’installateur DLL sur le PC compromis, qui à son tour télécharge la charge malveillante finale.
Passage de Valak à IcedID
À partir de la mi-juillet 2020, les chercheurs en sécurité ont identifié la campagne de malspam TA551 distribuant exclusivement le cheval de Troie bancaire IcedID. La première vague d’infections ciblait uniquement les utilisateurs anglophones. Ensuite, le 27 octobre 2020, les opérateurs TA551 sont passés à des modèles de documents Word en japonais, ciblant continuellement les utilisateurs japonais pendant plus de trois semaines. En novembre 2020, le malspam s’est à nouveau recentré sur le public anglophone. Notamment, le malware IcedID était fréquemment livré en tant que charge utile de suivi par Ursnif et Valak. Et seulement au T2 2020, les pirates TA551 ont décidé de se concentrer sur IcedID comme charge utile de première étape.
Qu’est-ce que le malware IcedID ?
IcedID (également connu sous le nom de BokBot) est un cheval de Troie bancaire modulaire conçu pour voler des données bancaires et des identifiants des machines ciblées. Détecté pour la première fois en 2017, IcedID était principalement axé sur les fournisseurs bancaires américains et les vendeurs de télécommunications. Initialement, le cheval de Troie était livré par Emotet, mais de nouveaux modèles de distribution ont été acquis avec le temps. La méthode d’infection principale reste la même, étant un malspam contenant des fichiers Word portant des macros.
Le voleur d’informations IcedID possède une large gamme de capacités malveillantes accompagnées de fonctionnalités sophistiquées d’évasion. Le cheval de Troie cache sa configuration à l’aide de la technique de stéganographie, appliquant simultanément des fonctions anti-VM et anti-débogage. Après infection et obtention de la persistance, le malware se propage à travers le réseau compromis, surveillant toute l’activité sur le PC et menant des attaques de type man-in-the-browser. Ces attaques suivent trois étapes, y compris l’injection web, la configuration de proxy et la redirection. Cette approche permet à IcedID de tromper les victimes via l’ingénierie sociale, de voler leurs coordonnées bancaires et de contourner l’authentification multifacteur tout en accédant aux comptes bancaires.
Détection de TA551
Pour améliorer vos capacités de défense proactive contre la campagne de malspam TA551, téléchargez une règle Sigma gratuite publiée par Joseph Kamau sur le Marché de Détection des Menaces :
https://tdm.socprime.com/tdm/info/Ae4eIgnZWl77/zpiHFXcBR-lx4sDxDOul/
La règle est traduite pour les plates-formes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR : Microsoft Defender ATP, Carbon Black
MITRE ATT&CK :
Tactiques : Exécution, Évasion de la défense
Techniques : Exécution de proxy de binaire signé (T1218)
Obtenez un abonnement gratuit au Marché de Détection des Menaces et accédez à plus de contenu SOC sélectionné compatible avec la majorité des plates-formes SIEM, EDR, NTDR et SOAR. Envie de contribuer aux activités de chasse aux menaces ? Rejoignez notre programme Threat Bounty et partagez vos propres règles Sigma avec la communauté SOC Prime.
