Cybersécurité : TA505 refait surface à travers une campagne d’e-mails malveillants à gros volume

0

Depuis le début du mois de septembre 2021, les chercheurs de Proofpoint ont observé de nouvelles campagnes de logiciels malveillants à vocation financière menées par le groupe TA505.

Tribune – Ciblant un large éventail d’industries, ces campagnes ont commencé par des vagues d’emails de faible volume qui se sont intensifiées fin septembre, aboutissant à des dizaines à des centaines de milliers d’emails. Beaucoup d’entre-elles, en particulier celles à fort volume, ressemblent fortement à l’activité historique de TA505 en 2019 et 2020.

Parmi les points communs, on note des noms de domaine similaires, des leurres d’emails, des leurres de fichiers Excel et la distribution du cheval de Troie d’accès à distance (RAT) FlawedGrace.

Les campagnes contiennent également quelques nouveautés notables, telles que des étapes de chargement intermédiaire scriptées en Rebol et KiXtart, utilisées à la place du téléchargeur Get2, précédemment très populaire. Les nouveaux téléchargeurs exécutent des fonctionnalités similaires de reconnaissance et d’extraction. Enfin, il existe une version actualisée de FlawedGrace : le chargeur MirrorBlast.

Sherrod DeGrippo, Directrice menaces émergentes chez Proofpoint commente :

« TA505 fait partie des précurseurs dans le monde de la cybercriminalité en changeant régulièrement leurs tactiques, les techniques et les procédures (TTPs). Si cette récente série de campagnes rappelle leur activité de 2019 et 2020, elle ne manque pas d’éléments nouveaux et intrigants. Outre la mise à jour de FlawedGrace, ils ont également remanié leurs étapes intermédiaires de chargement, remplaçant le fidèle Get2 par plusieurs nouveaux téléchargeurs codés dans des langages de script inhabituels. »

Pour en savoir plus sur ces nouvelles campagnes et l’évolution du groupe TA505, rendez-vous sur le Threat Insight de Proofpoint.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.