Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité : TA505 refait surface à travers une campagne d’e-mails malveillants à gros volume

octobre 2021 par Proofpoint

Depuis le début du mois de septembre 2021, les chercheurs de Proofpoint ont observé de nouvelles campagnes de logiciels malveillants à vocation financière menées par le groupe TA505.

Ciblant un large éventail d’industries, ces campagnes ont commencé par des vagues d’emails de faible volume qui se sont intensifiées fin septembre, aboutissant à des dizaines à des centaines de milliers d’emails. Beaucoup d’entre-elles, en particulier celles à fort volume, ressemblent fortement à l’activité historique de TA505 en 2019 et 2020.

Parmi les points communs, on note des noms de domaine similaires, des leurres d’emails, des leurres de fichiers Excel et la distribution du cheval de Troie d’accès à distance (RAT) FlawedGrace.

Les campagnes contiennent également quelques nouveautés notables, telles que des étapes de chargement intermédiaire scriptées en Rebol et KiXtart, utilisées à la place du téléchargeur Get2, précédemment très populaire. Les nouveaux téléchargeurs exécutent des fonctionnalités similaires de reconnaissance et d’extraction. Enfin, il existe une version actualisée de FlawedGrace : le chargeur MirrorBlast.

Sherrod DeGrippo, Directrice menaces émergentes chez Proofpoint commente : « TA505 fait partie des précurseurs dans le monde de la cybercriminalité en changeant régulièrement leurs tactiques, les techniques et les procédures (TTPs). Si cette récente série de campagnes rappelle leur activité de 2019 et 2020, elle ne manque pas d’éléments nouveaux et intrigants. Outre la mise à jour de FlawedGrace, ils ont également remanié leurs étapes intermédiaires de chargement, remplaçant le fidèle Get2 par plusieurs nouveaux téléchargeurs codés dans des langages de script inhabituels. »




Voir les articles précédents

    

Voir les articles suivants