Les organisations au Kazakhstan sont la cible d’un groupe d’activités de menace baptisé Loup sanglant qui fournit un malware de base appelé STRRAT (alias Strigoi Master).
« Le programme vendu pour seulement 80 $ sur des ressources souterraines permet aux adversaires de prendre le contrôle des ordinateurs des entreprises et de détourner des données restreintes », a déclaré le fournisseur de cybersécurité BI.ZONE dit dans une nouvelle analyse.
Les cyberattaques utilisent des courriers électroniques de phishing comme vecteur d’accès initial, se faisant passer pour le ministère des Finances de la République du Kazakhstan et d’autres agences pour inciter les destinataires à ouvrir des pièces jointes PDF.
Le fichier prétend être un avis de non-conformité et contient des liens vers un fichier d’archive Java malveillant (JAR) ainsi qu’un guide d’installation de l’interpréteur Java nécessaire au fonctionnement du logiciel malveillant.
Dans une tentative de légitimer l’attaque, le deuxième lien pointe vers une page Web associée au site Web du gouvernement du pays qui exhorte les visiteurs à installer Java afin de garantir que le portail soit opérationnel.
Le malware STRRAT, hébergé sur un site Web qui imite le site Web du gouvernement du Kazakhstan (« egov-kz[.]en ligne »), configure la persistance sur l’hôte Windows au moyen d’une modification du Registre et exécute le fichier JAR toutes les 30 minutes.
De plus, une copie du fichier JAR est copiée dans le dossier de démarrage de Windows pour garantir qu’il se lance automatiquement après un redémarrage du système.
Par la suite, il établit des connexions avec un serveur Pastebin pour exfiltrer des informations sensibles de la machine compromise, notamment des détails sur la version du système d’exploitation et le logiciel antivirus installé, ainsi que les données de compte de Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook et Thunderbird.
Il est également conçu pour recevoir des commandes supplémentaires du serveur pour télécharger et exécuter davantage de charges utiles, enregistrer les frappes au clavier, exécuter des commandes à l’aide de cmd.exe ou PowerShell, redémarrer ou arrêter le système, installer un proxy et se supprimer.
« L’utilisation de types de fichiers moins courants tels que JAR permet aux attaquants de contourner les défenses », a déclaré BI.ZONE. « L’utilisation de services Web légitimes tels que Pastebin pour communiquer avec le système compromis permet d’échapper aux solutions de sécurité réseau. »