“Des attaques d’espionnage ciblent l’Afrique du Nord avec une porte dérobée furtive”.

Reading Time: ( Word Count: )

June 9, 2023
Nextdoorsec-course

Une porte dérobée personnalisée récemment apparue, appelée Stealth Soldier, a été déployée dans le cadre d’une série d’attaques d’espionnage très ciblées en Afrique du Nord.

Selon un rapport technique de la société de cybersécurité Check Point, le logiciel malveillant Stealth Soldier est une porte dérobée non documentée conçue principalement pour la surveillance. Ses fonctionnalités comprennent l’exfiltration de fichiers, l’enregistrement des écrans et des entrées microphoniques, l’enregistrement des frappes clavier et le vol d’informations sur le navigateur.

L’opération en cours utilise des serveurs de commande et de contrôle qui imitent les sites web associés au ministère libyen des affaires étrangères. Les premières traces de cette campagne remontent à octobre 2022.

Les attaques commencent par le téléchargement, par les cibles potentielles, de faux binaires de téléchargement, fournis par des attaques d’ingénierie sociale, et qui servent de canal pour obtenir la porte dérobée Stealth Soldier. En même temps, un fichier PDF vide est affiché pour tromper les victimes.

Lire aussi : “Cisco et VMware publient des mises à jour de sécurité critiques”.

Des attaques d'espionnage visent l'Afrique du Nord avec une porte dérobée furtive

L’implant modulaire personnalisé, dont on pense qu’il est utilisé avec parcimonie, permet des capacités de surveillance en collectant des listes de répertoires et des informations d’identification de navigateur, en enregistrant les frappes au clavier et le son du microphone, en réalisant des captures d’écran, en téléchargeant des fichiers et en exécutant des commandes PowerShell. Check Point a déclaré : “Le logiciel malveillant utilise différents types de commandes, dont certaines sont des plugins téléchargés à partir du serveur C&C, tandis que d’autres sont des modules du logiciel malveillant lui-même”. L’existence de trois versions du soldat furtif indique que les opérateurs le maintiennent activement.

Bien que certains composants ne soient plus accessibles, il semblerait que les plugins de capture d’écran et de vol de données d’identification aient été influencés par des projets open-source disponibles sur GitHub. En outre, l’infrastructure utilisée par Stealth Soldier recoupe l’infrastructure liée à une précédente campagne de phishing appelée Eye on the Nile, qui a ciblé des journalistes égyptiens et des militants des droits de l’homme en 2019.

Cette évolution indique la réapparition potentielle de l’acteur de la menace après la campagne susmentionnée, suggérant que le groupe se concentre sur des activités de surveillance ciblant des entités égyptiennes et libyennes.

Compte tenu de la nature modulaire du logiciel malveillant et de l’utilisation de plusieurs étapes d’infection, les attaquants continueront à faire évoluer leurs tactiques et techniques, en déployant de nouvelles versions du logiciel malveillant dans un avenir proche, comme l’indique Check Point.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *