Mimecast Logo
Obtenir un devis

    Violation des droits d'auteur

    12 février 2025

    Par Samantha Clarke, Hiwot Mendahun et l'équipe de recherche sur les menaces de Mimecast

    Points clés

    Ce que vous apprendrez dans cette notification

    • Ciblant principalement les secteurs de la vente au détail, des voyages et de l'hôtellerie au Royaume-Uni et aux États-Unis.
    • Augmentation régulière du trafic à partir d'août 2024 jusqu'à la fin de l'année
    • L’intention principale est de fournir un voleur d’informations pour exfiltrer des données sensibles

    Flux de campagne

    Copyright-Infringement-Flow.jpg

    Les chercheurs de Mimecast Threat ont surveillé et enquêté sur une campagne de vol d’informations ciblant diverses organisations, en mettant l’accent sur les secteurs de la vente au détail, des voyages et de l’hôtellerie. Dans le cadre de cette campagne, des acteurs malveillants se font passer pour des cabinets d’avocats bien connus et contactent des entreprises au sujet d’une violation du droit d’auteur, afin d’inciter les victimes à télécharger des fichiers malveillants à partir de Dropbox. Les fichiers malveillants cherchent à livrer du malware sous forme de divers voleurs d'informations.

    Copyright-Infringement-1.png

    Distribué via Mail Merge, un service qui permet la distribution de campagnes d'e-mails en masse personnalisées en intégrant des données spécifiques aux destinataires dans des modèles. Les acteurs malveillants exploitent les comptes d'essai gratuits de Mail Merge en association avec Gmail, pour orchestrer et diffuser des campagnes par e-mail à grande échelle. En abusant de plateformes légitimes, ils contournent certaines authentifications DNS, garantissant ainsi la réussite de leurs campagnes malveillantes.

    Une fois que l'utilisateur a téléchargé les fichiers, l'exécutable, lorsqu'il est exécuté, utilise un dépôt GitHub appartenant à LoneNone1807 qui inclut plusieurs fichiers malware. Le dépôt comprend une campagne récente qui commence par un fichier batch hautement obscurci qui, lorsqu'il est exécuté, télécharge et installe deux types de malware : XWorm et RedLine. XWorm est un cheval de Troie d'accès à distance (RAT) qui permet aux attaquants de contrôler les systèmes infectés, tandis que RedLine est un voleur d'informations conçu pour extraire des données sensibles des victimes. Le malware emploie des techniques d'obscurcissement avancées, utilisant des scripts batch hautement encodés avec des couches de commandes imbriquées et générant dynamiquement des charges utiles pour contourner les mécanismes de détection traditionnels.

    Mimecast a observé un flux constant de campagnes débutant initialement vers juillet, mais s'intensifiant vers août, avec un pic majeur en décembre pour cette campagne.

    Copyright-Infringement-2.png

    Plusieurs analyses ont été menées sur le malware trouvé sur le compte GitHub de LoneNone1807, y compris une récente campagne de malware qui débute par un fichier batch fortement obfusqué. Les détails complets des capacités du malware peuvent être lus dans le rapport de recherche de SANS.

    Tactiques, techniques et procédures :

    T1566.002 : Phishing - Lien de phishing ciblé
    T1102.001 : Service Web - Résolveur de dépôt mort
    T1071 : Protocole de la couche application (commande et contrôle)
    T1574.002 : Détournement du flux d'exécution - détournement de l'ordre de recherche de DLL
    T1562.001 : Affaiblir les défenses - Désactiver ou modifier les outils
    T1497 : évasion de la virtualisation/sandbox
    T1056 : capture d'entrée
    T1010 : découverte de fenêtres d'application
    T1082 : découverte des informations système


    Protection Mimecast

    Nous avons identifié plusieurs attributs dans les campagnes qui ont été ajoutés à nos capacités de détection.

    Ciblage :

    Royaume-Uni et États-Unis, principalement les secteurs de la vente au détail, des voyages et de l'hôtellerie

    CIO :

    Hachages de fichiers :

    • 8c6eaefb476c4b2679fb4f08e92f6e98a90cb941afb5c1fcd1fe651e3c47ca68
    • 27d78d9a5f40932da3305ba4ca0494076a539a8a648a8c8e36ee4c35bc76bb00
    • bc056f72454c34de86bdda578a0e67663470119dcc230aca2e692bab4ac64f9c
    • 02dad6cacc5ff17cc7dea8565e4eb7091e146822e5d2505c373889fc476a26f2
    • 71f502cc7b65f6c436582d8c31986e30bdc5d94ba84957a10259b0b4a6bd3459
    • 5b690097611a0529584d759df8a7f472acf7448aeeab046ae01d8dbe21349dcc
    • ae3ff323a5ae34175a4101589c6394c1aed17adf39137e582f96c15f122673a0
    • 1da0b740d3466c1fd55ede1728c5a3783b003c0511a16668061dbf8080cfb002
    • 0ca5044d7ae4946054b9223c835bd347df3752aab2a3126bb81dd8c4f7df2747
    • 64e0bfcc0b531f623adea6d888bd58450002474c7cd90c5c2c385d7eae2449eb
    • 0973047957a83c19ddad2638b46eb6a2bc2659366dbcec69583d2fc4c9473f85
    • 92dab0afa2c6488bf5a069bfcd5d18094145e5551d8d996cb01d3d3765bd5b00

    Recommandations

    Haut de la page