Threat Database Backdoors SharpStage Backdoor

SharpStage Backdoor

Le groupe MoleRats Advanced Persistent Threat (APT) a lancé une nouvelle campagne menaçante dans son cadre habituel au Moyen-Orient et en Afrique du Nord. Plus précisément, les cibles qui ont été attaquées dans le cadre de cette opération sont des personnalités politiques de haut rang et des fonctionnaires du gouvernement en Égypte, dans les Territoires palestiniens, en Turquie et aux Émirats arabes unis. Les MoleRats adhèrent également à leur modèle d'exploitation d'événements régionaux importants comme des leurres pour leurs e-mails de phishing. Ce qui a attiré l'attention des chercheurs d'Infosec, c'est le déploiement de deux nouveaux outils de porte dérobée, l'un de chacun qu'ils ont appelé SharpStage Backdoor.

SharpStage Backdoor est une puissante menace de porte dérobée écrite en .NET qui montre des signes de développement actif. Jusqu'à présent, les chercheurs ont découvert trois itérations distinctes de l'outil menaçant, la dernière possédant les capacités d'exécuter des commandes arbitraires, de récolter des données sensibles, de prendre des captures d'écran et d'exfiltrer toutes les informations recueillies. Pour s'assurer que le logiciel malveillant ne s'initie que sur les cibles appropriées, les pirates MoleRat ont mis en œuvre une mesure qui vérifie si l'ordinateur infecté est installé en arabe et met fin à son exécution si la vérification renvoie un résultat négatif.

Il a été observé que SharpStage Backdoor télécharge des charges utiles menaçantes supplémentaires sur l'ordinateur compromis, y compris le framework d'accès à distance Quasar RAT. Bien que Quasar RAT soit un outil Windows légitime lorsqu'il est vu dans le vide, on ne peut nier que plusieurs gangs de cybercriminels l'ont déjà intégré dans leurs opérations. Après tout, Quasar RAT leur permet d'initier facilement l'enregistrement de frappe, la collecte de données, l'écoute clandestine et d'autres processus menaçants.

MoleRats APT s'est également adapté rapidement à la tendance croissante des pirates informatiques qui voient de tels acteurs de la menace utiliser des plates-formes de médias sociaux et des services cloud légitimes dans le cadre de leurs structures de commande et de contrôle (C2, C&C) ou de leurs routines d'exfiltration de données. La porte arrière SharpStage, en particulier, télécharge et exfiltre les données en tirant parti d'une API client Dropbox qui peut communiquer avec Dropbox via un token.

Tendance

Le plus regardé

Chargement...