Un acteur menaçant relativement nouveau connu sous le nom de YoroTrooper est probablement composé d’opérateurs originaires du Kazakhstan.
L’évaluation, émanant de Cisco Talos, est basée sur leur maîtrise du kazakh et du russe, leur utilisation du tenge pour financer l’exploitation des infrastructures et leur ciblage très limité des entités kazakhes, à l’exception de l’agence gouvernementale anti-corruption.
« YoroTrooper tente de dissimuler l’origine de ses opérations, en employant diverses tactiques pour donner l’impression que ses activités malveillantes proviennent d’Azerbaïdjan, comme l’utilisation de nœuds de sortie VPN locaux dans cette région », ont déclaré les chercheurs en sécurité Asheer Malhotra et Vitor Ventura. dit.
Documenté pour la première fois par la société de cybersécurité en mars 2023, l’adversaire est connu pour être actif depuis au moins juin 2022, ciblant diverses entités publiques dans les pays de la Communauté des États indépendants (CEI). La société slovaque de cybersécurité ESET suit cette activité sous le nom de SturgeonPhisher.
Les cycles d’attaque de YoroTrooper reposent principalement sur le spear phishing pour distribuer un mélange de logiciels malveillants voleurs de produits de base et open source, bien que le groupe ait également été observé en utilisant le vecteur d’accès initial pour diriger les victimes vers des sites de collecte d’informations d’identification contrôlés par les attaquants.
« La pratique de collecte d’informations d’identification est complémentaire aux opérations basées sur les logiciels malveillants de YoroTrooper, l’objectif final étant le vol de données », ont déclaré les chercheurs.
La divulgation publique des campagnes des acteurs menaçants a entraîné une refonte tactique de leur arsenal, passant des logiciels malveillants de base aux outils personnalisés programmés en Python, PowerShell, Golang et Rust.
Les liens étroits de l’acteur avec le Kazakhstan proviennent du fait qu’il effectue régulièrement des analyses de sécurité du service de messagerie électronique public, mail[.]kz, indiquant des efforts continus pour surveiller le site Web à la recherche de failles de sécurité potentielles.
Il vérifie également périodiquement les taux de conversion des devises entre Tenge et Bitcoin sur Google (« btc en kzt ») et utilise alfachange.[.]com pour convertir Tenge en Bitcoin et payer l’entretien de l’infrastructure.
À partir de juin 2023, le ciblage des pays de la CEI par YoroTrooper s’est accompagné d’une concentration accrue sur les implants sur mesure, tout en utilisant simultanément des scanners de vulnérabilité tels qu’Acunetix et des données open source provenant de moteurs de recherche comme Shodan pour localiser et infiltrer les réseaux de victimes.
Certaines des cibles comprenaient la Chambre de commerce du Tadjikistan, l’Agence de contrôle des drogues, le ministère des Affaires étrangères, le KirghizKomur du Kirghizistan et le ministère de l’Énergie de la République d’Ouzbékistan.
Un autre aspect notable est l’utilisation de comptes de messagerie pour s’inscrire et acheter des outils et services, notamment un abonnement NordVPN et une instance VPS de netx.[.]hébergement pour 16 $ par mois.
Une mise à jour majeure de la chaîne d’infection implique le portage de son cheval de Troie d’accès à distance (RAT) basé sur Python vers PowerShell ainsi que l’utilisation d’un shell inverse interactif personnalisé pour exécuter des commandes sur les points de terminaison infectés via cmd.exe. Le PowerShell RAT est conçu pour accepter les commandes entrantes et exfiltrer les données via Telegram.
En plus d’expérimenter plusieurs types de véhicules de livraison pour leurs portes dérobées, YoroTrooper aurait ajouté des logiciels malveillants basés sur Golang et Rust à partir de septembre 2023, lui permettant d’établir un shell inversé et de récolter des données sensibles.
« Leurs implants basés sur Golang sont des ports du RAT basé sur Python qui utilise les canaux Telegram pour l’exfiltration de fichiers et la communication C2 », ont expliqué les chercheurs.