Un nouvel acteur menaçant nommé «YoroTrooper» mène des campagnes de cyberespionnage depuis au moins juin 2022, ciblant les organisations gouvernementales et énergétiques des pays de la Communauté des États indépendants (CEI).
Selon Cisco Talos, l’auteur de la menace a compromis les comptes d’une agence critique de l’Union européenne engagée dans les soins de santé, l’Organisation mondiale de la propriété intellectuelle (OMPI) et de diverses ambassades européennes.
Les outils de YoroTrooper comprennent une combinaison de voleurs d’informations de base et personnalisées, de chevaux de Troie d’accès à distance et de logiciels malveillants basés sur Python. L’infection se produit via des e-mails de phishing contenant des pièces jointes LNK malveillantes et des documents PDF leurres.
Cisco Talos rapporte avoir des preuves que YoroTrooper exfiltre de grands volumes de données à partir de terminaux infectés, y compris des informations d’identification de compte, des cookies et des historiques de navigation.
Alors que YoroTrooper utilise des logiciels malveillants associés à d’autres acteurs de la menace, tels que PoetRAT et LodaRAT, les analystes de Cisco ont suffisamment d’indications pour croire qu’il s’agit d’un nouveau groupe d’activités.
Ciblage des pays de la CEI
À l’été 2022, YoroTrooper a ciblé des entités biélorusses en utilisant des fichiers PDF corrompus envoyés à partir de domaines de messagerie se faisant passer pour des entités biélorusses ou russes.
En septembre 2022, le groupe a enregistré plusieurs domaines de typosquattage imitant des entités gouvernementales russes et a expérimenté la distribution basée sur VHDX d’implants basés sur NET.
Dans les mois qui ont suivi jusqu’à la fin de l’année, les cyberespions ont déplacé leur attention vers la Biélorussie et l’Azerbaïdjan, déployant un implant personnalisé basé sur Python nommé « Stink Stealer ».
En 2023, les acteurs de la menace ont utilisé HTA pour télécharger des documents leurres et des implants compte-gouttes sur le système de la cible, déployant un voleur Python personnalisé contre le gouvernement du Tadjikistan et de l’Ouzbékistan.
Dans les attaques les plus récentes, les pièces jointes RAR ou ZIP malveillantes dans les e-mails de phishing utilisent des leurres liés à la stratégie nationale et à la diplomatie.
Les fichiers LNK utilisent « mshta.exe » pour télécharger et exécuter des fichiers HTA distants sur le système compromis, qui télécharge un exécutable malveillant qui supprime la charge utile principale. Dans le même temps, un document leurre est ouvert automatiquement pour éviter tout soupçon.
Création de logiciels malveillants personnalisés
YoroTrooper a déjà été vu en train d’utiliser des logiciels malveillants de base comme AveMaria (Warzone RAT) et LodaRAT, mais lors d’attaques ultérieures, les acteurs de la menace sont passés à l’utilisation de RAT Python personnalisés enveloppés dans Nuitka.
Nuitka aide à distribuer les charges utiles en tant qu’applications autonomes sans nécessiter l’installation de Python sur l’appareil.
Le RAT personnalisé utilise Telegram pour la communication du serveur de commande et de contrôle et l’exfiltration de données et prend en charge l’exécution de commandes arbitraires sur l’appareil infecté.
En janvier 2023, YoroTrooper a utilisé un script de voleur basé sur Python pour extraire les identifiants de compte stockés dans les navigateurs Web Chrome et les exfiltrer via un bot Telegram.
En février 2023, les attaquants ont commencé à déposer un nouveau voleur d’informations d’identification modulaire nommé « Stink ».
Stink peut collecter des informations d’identification, des signets et des données de navigation à partir de navigateurs basés sur Chrome, tout en pouvant également prendre des captures d’écran et voler des données de Filezilla, Discord et Telegram. En outre, les informations système de base telles que le matériel, le système d’exploitation et les processus en cours d’exécution sont également énumérées et exfiltrées.
Toutes les données volées sont temporairement stockées dans un répertoire sur le système infecté et sont finalement compressées et envoyées aux acteurs de la menace.
Les performances de Stink sont améliorées en exécutant tous les modules Python dans leurs propres processus individuels, en utilisant des threads de processeur séparés pour accélérer le processus de collecte de données.
Outre ce qui précède, YoroTrooper a utilisé des shells inversés basés sur Python et un enregistreur de frappe basé sur C déployé à des occasions limitées.
YoroTrooper est d’origine inconnue et ses sponsors ou affiliations restent troubles.
Cependant, l’utilisation par le groupe de menaces d’espionnage d’outils de logiciels malveillants personnalisés indique qu’ils sont des acteurs de la menace habiles et bien informés.