Un groupe cybercriminel surnommé Bluebottle a été lié à une série d’attaques ciblées contre le secteur financier de pays francophones situés en Afrique, entre juillet 2022 et septembre 2022 au moins.
« Le groupe fait un usage intensif d’outils à double usage et de logiciels malveillants de base, aucun logiciel malveillant personnalisé n’ayant été déployé dans cette campagne », a déclaré Symantec, une division de Broadcom Software, dans un rapport partagé avec The Hacker News.
La société de cybersécurité a déclaré qu’elle avait pu établir un lien avec un groupe de menaces suivi par Group-IB sous le nom d’OPERA1ER, qui a mené des dizaines d’attaques visant des banques, des services financiers et des entreprises de télécommunications en Afrique, en Asie et en Amérique latine entre 2018 et 2022.
L’attribution découle des similitudes entre les outils utilisés, l’infrastructure de l’attaque, l’absence de logiciels malveillants sur mesure et le ciblage des pays francophones d’Afrique. Trois institutions financières anonymes différentes dans trois pays africains ont été violées, bien que l’on ne sache pas si Bluebottle a réussi à monétiser les attaques.
L’adversaire à motivation financière, également connu sous le nom de DESKTOP-GROUP, a été responsable d’une série d’attaques totalisant 11 millions de dollars, avec des dommages réels atteignant 30 millions de dollars.
Les récentes attaques illustrent l’évolution des tactiques du groupe, notamment l’utilisation d’un logiciel malveillant standard appelé GuLoader aux premiers stades de la chaîne d’infection, ainsi que l’utilisation de pilotes du noyau pour désactiver les défenses de sécurité.
Symantec a déclaré qu’il ne pouvait pas retracer le vecteur d’intrusion initial, bien qu’il ait détecté des fichiers sur le thème de l’emploi sur les réseaux des victimes, ce qui indique que des tentatives de phishing liées à l’embauche ont probablement été utilisées pour inciter les cibles à ouvrir des pièces jointes malveillantes.
De plus, une attaque détectée à la mi-mai 2022 impliquait la diffusion d’un malware voleur d’informations sous la forme d’un fichier ZIP contenant un fichier écran de veille (.SCR) exécutable. En juillet 2022, on a également observé l’utilisation d’un fichier image de disque optique (.ISO), qui a été utilisé par de nombreux acteurs de la menace comme moyen de distribution de logiciels malveillants.
« Si les acteurs Bluebottle et OPERA1ER sont effectivement les mêmes, cela signifie qu’ils ont échangé leurs techniques d’infection entre mai et juillet 2022 », notent les chercheurs.
Les pièces jointes de spear-phishing conduisent au déploiement de GuLoader, qui agit ensuite comme un conduit pour déposer des charges utiles supplémentaires sur la machine, telles que Netwire, Quasar RAT et Cobalt Strike Beacon. Les mouvements latéraux sont facilités par des outils comme PsExec et SharpHound.
Une autre technique adoptée par le groupe est l’utilisation de pilotes signés pour désactiver les logiciels de sécurité, une méthode qui a été utilisée par plusieurs équipes de pirates à des fins similaires, selon les conclusions de Mandiant, SentinelOne et Sophos le mois dernier.
Les acteurs de la menace étant soupçonnés d’être francophones, il est probable que les attaques s’étendent à d’autres pays francophones dans le monde, a averti la société.
« L’efficacité de ses campagnes signifie qu’il est peu probable que Bluebottle mette fin à cette activité », ont déclaré les chercheurs. « Il semble être très concentré sur les pays francophones d’Afrique, les institutions financières de ces pays doivent donc rester en alerte. »
- Cet article est une traduction du texte en anglais de The Hacker News : https://thehackernews.com/2023/01/bluebottle-cybercrime-group-preys-on.html
- Auteur : Ravie Lakshmanan
- Date : 5 janvier 2023
- Image d’illustration : Christiaan Colen (via https://commons.wikimedia.org/wiki/File:Locky_ransomware_source_code.jpg)