Logiciel malveillant NuggetPhantom

NuggetPhantom est le nom donné à une boîte à outils de malware modulaire. Les chercheurs d'Infosec associent cette opération nouvellement détectée à l'activité d'un acteur de la menace singulier qui a jusqu'à présent été responsable de la réalisation de plusieurs campagnes d'attaque différentes. La première opération du groupe a eu lieu fin 2016 lorsque les clients du campus de Tianyi ont été ciblés par des logiciels malveillants, provoquant une erreur d'écran bleu de la mort (BSOD) sur les ordinateurs affectés. Dans une campagne ultérieure qui a à nouveau ciblé les clients du campus Tianyi, les pirates ont implanté des charges utiles de cryptomining sur les systèmes compromis. L'activité nouvellement découverte implique également la livraison de logiciels malveillants de cryptomining.

La chaîne d'attaque commence par les pirates recherchant et sélectionnant les systèmes informatiques encore vulnérables à l'exploit EternalBlue. Ensuite, ils créent des charges utiles personnalisées pour les systèmes vulnérables spécifiques. Les victimes potentielles sont ciblées une par une avec une charge utile de téléchargeur exploitant la vulnérabilité EternalBlue. Le téléchargeur lui-même présente plusieurs caractéristiques sophistiquées qui l'aident à combattre les techniques anti-malware potentielles. De plus, il est équipé de plusieurs techniques furtives qui permettent à la menace d'échapper à la détection des comportements et à l'analyse du trafic. La structure hautement modulaire donne aux pirates la possibilité d'invoquer et d'exécuter uniquement les processus corrompus spécifiques requis pour l'opération en cours, réduisant ainsi l'empreinte globale de la boîte à outils. Une fois pleinement déployé, le logiciel malveillant NuggetPhantom a été détecté pour être utilisé pour le cryptage via les ressources informatiques de la victime et pour mener des attaques par déni de service distribué (DDoS).

L'acteur menaçant a modifié ses tactiques, techniques et procédures (TTP) avec le temps. Selon les dernières observations des experts infosec, les hackers accordent désormais plus d'importance au fait de rester inaperçus et de maintenir la persistance sur les ordinateurs ciblés pendant une période plus longue en obtenant le maximum de gains monétaires potentiels mais en faisant découvrir leurs activités assez rapidement et en fermant.