En juin 2021, Proofpoint identifiait les premières activités de TA402. Après la publication de ces recherches, TA402 a semblé interrompre ses activités pendant une courte période, très certainement pour mettre à jour sa méthode d’attaque et ses mécanismes de diffusion.
Tribune – Cependant, fin 2021, les chercheurs Proofpoint ont identifié une chaîne d’attaques complexe ciblant des gouvernements du Moyen-Orient, des groupes de réflexion sur la politique étrangère et une compagnie aérienne affiliée à un État.
Après 3 mois d’observation, les chercheurs font aujourd’hui état de leurs observations et dévoilent trois variations subtiles de cette chaîne d’attaques.
Ils attribuent ces campagnes à TA402, un acteur APT connu sous le nom de Molerats, et dont on pense qu’il opère dans l’intérêt des Territoires palestiniens. D’après les recherches de Proofpoint, TA402 est une menace persistante pour les organisations et les gouvernements du Moyen-Orient en raison de sa capacité à se renouveler. Le groupe amorçait son retour en lançant de nouvelles campagnes exploitant les malwares baptisés NimbleMamba ainsi que BrittleBush par les analystes de Proofpoint.
En outre, TA402 utilise régulièrement des techniques de géofencing et des redirections d’URL vers des sites légitimes afin de contourner les efforts de détection.
Selon Sherrod DeGrippo, Directrice menaces émergentes chez Proofpoint :
« Fin 2021, TA402 a affiné ses méthodes de diffusion et ses logiciels malveillants dans des campagnes qui ciblaient systématiquement des entités au Moyen-Orient. L’observation de ces campagnes a révélé une chaîne d’attaque complexe, difficile à détecter, et suffisamment précise pour s’assurer que le malware ne s’exécute que sur les machines ciblées. »
Proofpoint poursuit la surveillance de TA402, qui va sans doute continuer à faire évoluer ses méthodes d’infection pour de prochaines attaques.
Pour plus d’informations, veuillez consulter le blog Proofpoint.