PINK BOA : nouvel acteur malveillant identifié par Infoblox dans son rapport d’analyse des cybermenaces trimestriel

0
177

Infoblox, spécialiste de la cybersécurité, publie son nouveau rapport trimestriel sur les cybermenaces récemment détectées par sa division threat intelligence. La dernière édition de ce rapport comprend des analyses de cinq menaces détectées pendant les derniers mois. Parmi celles-ci figurent le nouvel acteur de la menace PINK BOA, ainsi que des campagnes diffusant les logiciels malveillants Ave Maria RAT, Dark Crystal RAT, Vidar, et Adwind RAT.

PINK BOA, nouvel acteur de la menace

Depuis un an, Infoblox suit un acteur de la menace qu’il a nommé PINK BOA. Cet acteur a été très actif tout au long de cette période, mais les campagnes se sont encore intensifiées au cours de l’automne dernier. PINK BOA s’appuie sur un algorithme de dictionnaire DGA (DDGA) pour générer des noms d’hôtes de façon aléatoire. Il utilise des milliers d’adresses IP appartenant à l’hébergeur américain Digital Ocean et réparties dans le monde entier. Selon les résultats d’un scan effectué par Infoblox sur des rapports publics, la plupart des adresses IP compromises semblent présenter des vulnérabilités qui peuvent être exploitées pour l’exécution à distance de code malveillant. 

Logiciels malveillants diffusés

Infoblox a récemment observé des campagnes de diffusion de plusieurs malwares. 

Par exemple, une campagne s’appuyait sur un leurre DHL pour inciter les cibles à ouvrir la pièce jointe Microsoft Word, qui distribuait le cheval de Troie d’accès à distance (RAT) Ave Maria. Une autre campagne distribuait le malware Dark Crystal RAT (dcRAT), qui se propage également via un document Microsoft Word contenant un script VBA malveillant.

Le paiement SWIFT a servi comme prétexte pour une autre campagne, qui distribuait le voleur d’infos (infostealer) Vidar.

Enfin, plusieurs campagnes de spam malveillantes ont été menées par l’envoi de courriels prétendant provenir de l’entreprise logistique Al Bahr Al Arabi et de la United Bank of Egypt. Ils distribuaient le cheval de Troie d’accès à distance (RAT) Adwind via des fichiers Java et JavaScript armés. 

Log4j

La vulnérabilité Log4j est également traitée dans le rapport d’Infoblox, au fur et à mesure que sont recueillies de nouvelles données la concernant. Une grande partie du secteur de la cybersécurité à travers le monde a été occupée à se défendre et à enquêter sur les attaques log4shell basées sur la vulnérabilité récemment divulguée dans la bibliothèque Apache log4j. Même s’il faudra un certain temps avant que des analyses approfondies ne soient complétées et rendues largement disponibles, les chercheurs commencent à scruter ce qui s’est passé. Certains schémas clairs sont apparus et sont publiés dans ce nouveau rapport.

La Cyber Intelligence Unit d’Infoblox partage également dans cette édition des études tierces sur les violations de données en 2021 ainsi que sur l’émergence du phishing comme vecteur d’attaque numéro un. Par ailleurs, l’équipe partage des informations détaillées sur les attaques DDoS et leur atténuation.

Pour télécharger le rapport, rendez-vous ici : https://info.infoblox.com/resources-whitepapers-infoblox-q4-2021-cyberthreat-intelligence-report

Tribune