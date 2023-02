Cybercriminalité : TA866, nouvel acteur de la menace détecté par Proofpoint

février 2023 par ProofPoint

Les chercheurs de la société Proofpoint ont identifié un nouvel acteur de la menace, baptisé TA866. Le groupe, actif depuis octobre 2022, est très organisé et armé pour mener des attaques complexes, et à grande échelle. Il utilise notamment des outils personnalisés, nommé WasabiSeed et Screenshotter, leur permettant d’étudier leur cible avant d’installer des malwares supplémentaires sur les terminaux des victimes.

Les recherches Proofpoint révèlent que :

Grâce aux malwares WasabiSeed et Screenshotter, TA866 analyse l’activité des victimes via des captures d’écran afin de déterminer si l’utilisation de charges utiles supplémentaires est pertinente. Dans certains cas, Proofpoint a observé une activité post-exploitation impliquant le bot AHK et le stealer Rhadamanthys.

Les premières campagnes ont été mené en octobre 2022 mais l’activité du groupe s’est poursuivie jusqu’en janvier 2023 ;

Les récentes campagnes semblent être motivées par des raisons financières et ciblent principalement des entreprises aux États-Unis et en Allemagne.

Les récentes activités de TA866 pourraient être en

lien avec d’anciennes campagnes, telles qu’observées en mars

2022, qui visaient le personnel de plusieurs gouvernements européens

impliqué dans des mouvements de réfugiés suite à la guerre en Ukraine. Des recherches complémentaires sont en cours mais il est fort plausible que TA866 en soit à l’origine.

L’équipe des chercheurs Proofpoint explique que "TA866 est un

acteur intéressant à observer car il combine des outils de base de cybercriminels, ainsi que des outils plus personnalisés. Dans le cas d’attaque par malware, tous les utilisateurs ciblés ne se valent pas, et un niveau de valeur leur est généralement attribué

par les attaquants, afin d’évaluer s’ils sont ’dignes’ de recevoir une charge utile. Avec Screenshotter et le temps passé à étudier ses potentielles victimes, le groupe est capable de déterminer avec précision cette valeur, et de maximiser la pertinence de

leurs attaques. Ce mode opératoire fait d’ailleurs écho à certaines activités historiques déjà observées par Proofpoint et qui pourrait suggérer un objectif d’espionnage en plus des motivations financières de TA866."