Un groupe de cybercriminalité surnommé Bluebottle a été lié à une série d’attaques ciblées contre le secteur financier dans des pays francophones situés en Afrique d’au moins juillet 2022 à septembre 2022.
« Le groupe fait un usage intensif d’outils à double usage vivant hors de la terre et de logiciels malveillants de base, sans aucun logiciel malveillant personnalisé déployé dans cette campagne », a déclaré Symantec, une division de Broadcom Software, m’a dit dans un rapport partagé avec The Hacker News.
La société de cybersécurité a déclaré que les parts d’activité chevauchent un cluster de menaces suivi par Group-IB sous le nom d’OPERA1ER, qui a mené des dizaines d’attaques visant des banques, des services financiers et des sociétés de télécommunications en Afrique, en Asie et en Amérique latine entre 2018 et 2022.
L’attribution découle des similitudes dans l’ensemble d’outils utilisés, l’infrastructure d’attaque, l’absence de logiciels malveillants sur mesure et le ciblage des pays francophones d’Afrique. Trois institutions financières anonymes différentes dans trois pays africains ont été violées, bien que l’on ne sache pas si Bluebottle a réussi à monétiser les attaques.
L’adversaire financièrement motivé, également connu sous le nom de DESKTOP-GROUP, a été responsable d’une série de cambriolages totalisant 11 millions de dollars, avec des dommages réels atteignant 30 millions de dollars.
Les attaques récentes illustrent l’évolution des tactiques du groupe, notamment l’utilisation d’un logiciel malveillant prêt à l’emploi nommé GuLoader dans les premières étapes de la chaîne d’infection ainsi que la militarisation des pilotes du noyau pour désactiver les défenses de sécurité.
Symantec a déclaré qu’il ne pouvait pas retracer le vecteur d’intrusion initial, bien qu’il ait détecté des fichiers sur le thème de l’emploi sur les réseaux victimes, indiquant que l’embauche de leurres de phishing liés à l’embauche était probablement utilisée pour inciter les cibles à ouvrir des pièces jointes malveillantes.
De plus, une attaque détectée à la mi-mai 2022 impliquait la livraison d’un malware voleur d’informations sous la forme d’un fichier ZIP contenant un fichier d’économiseur d’écran exécutable (.SCR). En juillet 2022, on a également observé l’utilisation d’un fichier d’image de disque optique (.ISO), qui a été utilisé par de nombreux acteurs malveillants comme moyen de distribuer des logiciels malveillants.
« Si les acteurs Bluebottle et OPERA1ER ne font qu’un, cela signifierait qu’ils ont échangé leurs techniques d’infection entre mai et juillet 2022 », notent les chercheurs.
Les pièces jointes de harponnage ont conduit au déploiement de GuLoader, qui agit ensuite comme un conduit pour déposer des charges utiles supplémentaires sur la machine, telles que Netwire, Quasar RAT et Cobalt Strike Beacon. Le mouvement latéral est facilité grâce à des outils comme PsExec et SharpHound.
Une autre technique adoptée par le groupe est l’utilisation de pilotes signés pour mettre fin au logiciel de sécurité, une méthode qui a été utilisée par plusieurs équipes de piratage à des fins similaires, selon les conclusions de Mandiant, SentinelOne et Sophos le mois dernier.
Les acteurs de la menace étant soupçonnés d’être francophones, il est probable que les attaques pourraient s’étendre à d’autres pays francophones à travers le monde, a averti la société.
« L’efficacité de ses campagnes signifie qu’il est peu probable que Bluebottle arrête cette activité », ont déclaré les chercheurs. « Il semble être très concentré sur les pays francophones d’Afrique, les institutions financières de ces pays doivent donc rester en état d’alerte. »