Les pirates Molerats déploient de nouveaux logiciels malveillants dans une campagne très évasive

hacker

Le groupe APT aligné sur les Palestiniens et suivi sous le nom de TA402 (alias Molerats) a été repéré en utilisant un nouvel implant nommé « NimbleMamba » dans une campagne de cyberespionnage qui exploite le géofencing et les redirections d’URL vers des sites Web légitimes.

La campagne a été découverte par Proofpoint, dont les analystes ont observé trois variantes de la chaîne d’infection, ciblant toutes les gouvernements des pays du Moyen-Orient, les groupes de réflexion sur la politique étrangère et une compagnie aérienne publique.

Quant à la chronologie des récentes attaques, les acteurs ont utilisé NimbleMamba pour la première fois en novembre 2021 et ont poursuivi l’opération jusqu’à fin janvier 2022.

Chaîne d’infection

Dans la plupart des attaques, TA402 utilise des e-mails de harponnage contenant des liens vers des sites de dépôt de logiciels malveillants. Les victimes doivent être dans le périmètre ciblé, sinon elles sont redirigées vers des sites d’actualités légitimes.

Si l’adresse IP de la cible correspond à la région ciblée définie, une copie de NimbleMamba est déposée sur son système dans un fichier RAR.

Proofpoint a observé trois chaînes de connexion différentes avec de légères variations concernant le thème de l’hameçonnage, l’URL de redirection et les sites hébergeant des logiciels malveillants.

Nouvelle chaîne d'infection TA402
Nouvelle chaîne d’infection TA402
Source : Proofpoint

NimbleMamba

Proofpoint estime que TA402 a développé NimbleMamba pour remplacer LastConn, un téléchargeur de portes dérobées et de logiciels malveillants exposé dans un rapport de juin 2021 par la même firme.

À son tour, LastConn aurait remplacé SharpStage, exposé par Cybereason, en décembre 2020.

TA402 a démontré sa capacité à développer rapidement de nouveaux outils personnalisés lorsque son ensemble existant est découvert et passe généralement par une période de pause distincte lors de son actualisation.

NimbleMamba présente inévitablement certaines similitudes de code avec LastConn, mais celles-ci se limitent au langage de programmation, au schéma de codage C2 et à l’utilisation de l’API Dropbox pour les communications.

Le nouvel outil comporte des systèmes anti-analyse beaucoup plus sophistiqués et contient plusieurs garde-fous pour garantir qu’il ne s’exécute que sur des machines ciblées.

Par exemple, l’hôte doit avoir installé le pack de langue arabe et le logiciel malveillant doit pouvoir se connecter à quatre services d’API de géolocalisation IP ; sinon, il ne fonctionnera pas.

Si les conditions préalables sont remplies, NimbleMamba récupère sa configuration à partir d’une page JustPaste.it, qui contient la clé d’authentification d’API obfusquée pour la communication C2.

Les pâtes ont été ajoutées par quelqu'un utilisant le nom du premier ministre d'Israël
Les pâtes ont été ajoutées par quelqu’un utilisant le nom du premier ministre d’Israël
Source : Proofpoint

« NimbleMamba a les capacités traditionnelles d’un cheval de Troie de collecte de renseignements et est probablement conçu pour être l’accès initial », explique Proofpoint. rapport.

« Les fonctionnalités incluent la capture d’écrans et l’obtention d’informations sur le processus à partir de l’ordinateur. De plus, il peut détecter l’interaction de l’utilisateur, comme la recherche d’un mouvement de souris. »

Les fichiers RAR extraits de Dropbox ne contiennent pas toujours uniquement NimbleMamba, car les analystes ont également récupéré le cheval de Troie BrittleBush, qui est très probablement utilisé comme outil de sauvegarde.

Perspectives

Maintenant que l’ensemble d’outils actualisé de TA402 a été à nouveau exposé, les acteurs devraient rester inactifs pendant un certain temps pour développer de nouveaux outils.

Déjà, les domaines utilisés pour fournir les communications NimbleMamba et C2 ont été mis hors ligne.

La chose essentielle à retenir est que l’acteur particulier maintient la même cible, sert les mêmes objectifs pro-palestiniens et utilise principalement des e-mails de phishing pour initier la chaîne d’infection.