Malware Brief : un quatuor de logiciels malveillants travaillant de concert

Dans le Malware Brief d'aujourd'hui, nous allons examiner rapidement quatre exemples différents de logiciels malveillants apparus à peu près au même moment. Ils illustrent la chaîne complexe de menaces utilisées conjointement, parfois par différents groupes à des fins différentes.

Dans le cas qui nous intéresse, les quatre logiciels malveillants (RomCom RAT, TransferLoader, MeltingClaw et DustyHammock) ont été identifiés au début des années 2020, à la suite de l'invasion russe de l'Ukraine. Ils ont été, et sont, largement utilisés par des groupes russophones contre des cibles ukrainiennes, polonaises et certaines cibles russes.

RomCom RAT

Type : cheval de Troie d'accès à distance (RAT)

Distribution : campagnes d’hameçonnage, URL compromises, téléchargements de faux logiciels

Variante : SingleCamper

Première identification : 2022

Cibles courantes : Principalement déployées contre des cibles en Ukraine

Opérateurs connus : TA829, UAT-5647

RomCom RAT est utilisé par les pirates pour créer une porte dérobée permettant de contrôler à distance les ordinateurs terminaux. Le groupe TA829, lié à la Russie, utilise cet outil et d'autres pour collecter des renseignements et commettre des fraudes financières. Ce groupe exploite généralement les vulnérabilités de Mozilla Firefox et Microsoft Windows pour diffuser RomCom RAT.

Une fois qu'un système est compromis par RomCom RAT, le pirate y insère généralement un chargeur furtif tel que TransferLoader ou SlipScreen. Ils sont ensuite utilisés pour charger un ransomware dans le système cible.

Il a d'abord été utilisé principalement contre des cibles ukrainiennes et polonaises par des groupes russophones, avant d'être adapté à la criminalité financière.

TransferLoader

Type : chargeur de logiciels malveillants

Distribution : campagnes d’hameçonnage sur le thème des candidatures à un emploi, compromission par cheval de Troie d’accès à distance

Première identification : février 2025

Opérateurs connus : UNK_GreenSec , RomCom

TransderLoader combine un téléchargeur, une porte dérobée et un chargeur de porte dérobée pour permettre aux pirates d'apporter des modifications aux systèmes compromis et d'insérer un ransomware ou un autre logiciel malveillant.

Il a été découvert pour la première fois lorsqu’il a été utilisé pour charger le ransomware Morpheus dans le système d’un cabinet d’avocats américain. Il a depuis été utilisé pour installer des logiciels malveillants tels que MeltingClaw et DustyHammer.

TransferLoader a été conçu pour la furtivité, utilisant diverses techniques pour éviter la détection. Lors de l'exécution d'un code malveillant téléchargé, il masque son activité en ouvrant des fichiers PDF leurres.

MeltingClaw

Type : Téléchargeur

Variante : RustyClaw

Première identification : 2024

Opérateurs/créateurs connus : RomCom — alias Storm-0978, UAC-0180, Void Rabisu, UNC2596 et Tropical Scorpius

Des campagnes avancées d’harponnage ont été utilisées pour diffuser les téléchargeurs MeltingClaw et son cousin RustyClaw. Ensuite, ils téléchargent et installent les portes dérobées DustyHammock ou ShadyHammock.

Ces portes dérobées furtives permettent d'accéder à long terme aux systèmes cibles, de trouver et d'exfiltrer des données ou d'effectuer d'autres tâches malveillantes. Il a été utilisé pour l'espionnage et le sabotage de systèmes en Ukraine lors de l'invasion russe.

DustyHammock

Type : porte dérobée

Variante : ShadyHammock

Première identification : 2024

DustyHammock est conçu pour communiquer avec un serveur de commande et de contrôle, effectuer une reconnaissance initiale sur les systèmes ciblés et permettre aux pirates d'exécuter des commandes arbitraires, ainsi que de télécharger et de placer des fichiers malveillants.

Conçu pour permettre un accès à long terme tout en échappant à la détection, DustyHammock a été utilisé pour l'exfiltration de données, l'espionnage et le sabotage.