Un groupe de pirates informatiques qui a exploité une faille de sécurité récemment révélée dans le logiciel WinRAR pour créer une menace zero-day a désormais été classé comme une toute nouvelle menace persistante avancée (APT).
La société de cybersécurité NSFOCUS a décrit Casino sombre en tant qu’acteur « motivé économiquement » apparu pour la première fois en 2021.
« DarkCasino est un acteur menaçant APT doté de fortes capacités techniques et d’apprentissage, qui sait intégrer diverses technologies d’attaque APT populaires dans son processus d’attaque », a déclaré la société. dit dans une analyse.
« Les attaques lancées par le groupe APT DarkCasino sont très fréquentes, démontrant une forte volonté de voler des biens en ligne. »
DarkCasino a été récemment lié à l’exploitation zero-day de CVE-2023-38831 (score CVSS : 7,8), une faille de sécurité qui peut être utilisée pour lancer des charges utiles malveillantes.
En août 2023, Group-IB a divulgué des attaques réelles exploitant la vulnérabilité visant les forums de trading en ligne au moins depuis avril 2023 pour fournir une charge utile finale nommée DarkMe, qui est un cheval de Troie Visual Basic attribué à DarkCasino.
Le malware est équipé pour collecter des informations sur l’hôte, prendre des captures d’écran, manipuler les fichiers et le registre Windows, exécuter des commandes arbitraires et se mettre à jour automatiquement sur l’hôte compromis.
Alors que DarkCasino était auparavant classé comme une campagne de phishing orchestrée par le groupe EvilNum ciblant les plateformes de jeux en ligne, de crypto-monnaie et de crédit européennes et asiatiques, NSFOCUS a déclaré que son suivi continu des activités de l’adversaire lui avait permis d’exclure tout lien potentiel avec des acteurs menaçants connus.
La provenance exacte de l’auteur de la menace est actuellement inconnue.
« Au début, DarkCasino opérait principalement dans les pays du pourtour méditerranéen et dans d’autres pays asiatiques en utilisant des services financiers en ligne », indique-t-il.
« Plus récemment, avec le changement des méthodes de phishing, ses attaques ont touché les utilisateurs de crypto-monnaies du monde entier, y compris dans les pays asiatiques non anglophones comme la Corée du Sud et le Vietnam. »
Plusieurs acteurs malveillants ont rejoint le mouvement d’exploitation du CVE-2023-38831 ces derniers mois, notamment APT28, APT40, Dark Pink, Ghostwriter, Konni et Sandworm.
Il a été observé que les chaînes d’attaque de Ghostwriter exploitant cette lacune ouvrent la voie à PicassoLoader, un malware intermédiaire qui agit comme un chargeur pour d’autres charges utiles.
« La vulnérabilité WinRAR CVE-2023-38831 apportée par le groupe APT DarkCasino apporte des incertitudes sur la situation des attaques APT au cours du second semestre 2023 », a déclaré NSFOCUS.
« De nombreux groupes APT ont profité de la période fenêtre de cette vulnérabilité pour attaquer des cibles critiques telles que les gouvernements, dans l’espoir de contourner le système de protection des cibles et d’atteindre leurs objectifs. »