Le groupe TA2541, scruté par les chercheurs de Proofpoint, cible depuis plusieurs années des secteurs critiques en utilisant systématiquement des trojans pour compromettre des machines à distance.
Depuis plusieurs années, le groupe est un acteur persistant de la criminalité informatique dans le sens où il cible des secteurs de façon cohérente, récurrente et en utilisant des thèmes et un ciblage similaires depuis 2017. L'aviation, l'aérospatiale, le transport, la fabrication et la défense sont les secteurs auxquels le groupe nommé TA2541 s'attaque. Ce dernier est scruté depuis longtemps par les chercheurs de l'entreprise spécialisée en cybersécurité Proofpoint. Ces derniers nous livrent leurs conclusions sur ses activités et les risques qu'il représente pour ces différents secteurs.
TA2541, un acteur persistant qui brille par sa constance
TA2541 est ainsi connu comme un acteur cybercriminel persistant qui brille par sa maîtrise des chevaux de Troie d'accès à distance (RAT). Il cible des industries, vous l'avez deviné, assez critiques. Et cela est d'autant plus grave que la propriété première du trojan d'accès à distance est, une fois installé sur un ordinateur, d'exécuter des fonctions d'administration à distance, donc d'en prendre le contrôle.
Pour atteindre ses cibles avec succès, le groupe TA2541 utilise, avec cohérence, des thèmes liés à l'aviation, aux voyages et au transport. Au départ, le groupe sévissait en distribuant des pièces jointes Microsoft Word chargées de macros qui permettaient de télécharger la charge utile d'un cheval de Troie d'accès à distance. Le but était de prendre le contrôle complet de l'appareil visé, toujours à distance.
Depuis, TA2541 a évolué avec son temps, et c'est davantage à l'aide de liens vers des services cloud du type Google Cloud hébergeant la charge utile qu'il essaie de piéger ses cibles. Et, même si changer de tactique n'est pas nouveau pour un acteur cybercriminel, puisque son but est d'échapper aux mesures de détection et de tromper la vigilance des victimes pour qu'elles cliquent sur le lien ou téléchargent le logiciel malveillant, le groupe TA2541 ne délaisse pas pour autant la distribution via pièces jointes Word. « Cette constance est sa marque de fabrique, et elle a fait du groupe une menace persistante pour les acteurs des secteurs de l’aviation, de l’aérospatial et des transports », insiste Sherrod DeGrippo, directrice Menaces émergentes chez Proofpoint.
Piéger à l'aide de liens Google Cloud, OneDrive ou Discord, outre les traditionnelles pièces jointes
De façon un peu plus détaillée, TA2541 fait preuve d'une réelle originalité dans le sens où il n'utilise pas les méthodes classiques pour distribuer ses logiciels malveillants, c'est-à-dire qu'il ne va pas s'appuyer sur des sujets ou des faits liés à l'actualité. « Dans presque toutes les campagnes observées, TA5241 utilise des thèmes de leurre qui incluent des termes liés au transport tels que "vol", "avion", "carburant", "yacht" ou "charter" », note Proofpoint. Alors, évidemment, le groupe a surfé sur la pandémie de COVID-19 en s'en servant comme leurre au printemps 2020, notamment dans des e-mails liés au fret et aux détails de vol (équipements de protection, kits de test, etc.). Mais cet épisode a été exceptionnel.
Concernant l'attaque en elle-même, elle consiste généralement en un lien Google Drive (ou parfois OneDrive, voire des URL DiscordApp depuis fin 2021) inséré dans un courrier électronique. Ce lien redirige son destinataire vers un fichier VBScript (Microsoft) illisible qui, une fois exécuté, permet via PowerShell d'extraire un exécutable d'un fichier texte hébergé sur diverses plateformes, comme GitHub.
Ensuite, le hacker exécute PowerShell dans différents processus Windows et interroge le système de contrôle et de surveillance des ressources systèmes WMI (Windows Management Instrumentation). Celui-ci est alors questionné sur des logiciels antivirus et autres pare-feu, pour tenter de désactiver les protections de sécurité intégrées. L'auteur de la menace n'a plus qu'à collecter les informations sur le système, avant de télécharger le fameux trojan RAT (AsyncRAT, NetWire, WSH RAT ou Parallax, pour les chevaux de Troie les plus courants) sur la machine hôte.
Si TA2541 utilise davantage des URL pour distribuer ses trojans, il exploite aussi, nous le disions, les pièces jointes des courriers électroniques. Le groupe peut par exemple envoyer un exécutable compressé dans une PJ au format RAR (avec un exécutable intégré contenant alors une URL) directement aux réseaux de diffusion de contenu (CDN) qui hébergent la charge utile du logiciel malveillant.
Généralement, une campagne du groupe TA2541 comprend des centaines, voire des milliers de courriers électroniques, mais jamais (ou très rarement) plus de 10 000 messages à la fois. Elles ciblent de façon récurrente l'Europe, l'Amérique du Nord et le Moyen-Orient, et sont quasi systématiquement en anglais.