L’entreprise de cybersécurité Proofpoint a alerté que TA584, l’un des acteurs de la lutte contre la cybercriminalité les plus dévastés par les enquêteurs du monde entier, a triplé son activité malveillante au cours d’une année innovatrice dans ses techniques comme intermédiaire d’accès initial.
Après l’enquête exhaustive menée par Proofpoint sur le groupe de cybercriminalité, seulement en 2025, TA584 a élargi le volume de ses campagnes ainsi que la segmentation globale pour diriger de manière plus cohérente les zones géographiques et les langages spécifiques, en adoptant l’ingénierie sociale ClickFix. De plus, nous avons également distribué un nouveau programme de logiciels malveillants, Tsundere Bot, avec des fichiers utiles installés comme XWorm.
Haute rotation des campagnes
Même si TA584 a été diffusé au cours de plusieurs années, ses campagnes antérieures ont été relativement prévisibles en comparaison avec la diversité des techniques et l’ingénierie sociale sophistiquée observées au cours de la dernière année. L’activité antérieure ne dure que longtemps, avec des infrastructures, des mécanismes et des mécanismes d’entrée réutilisés. En revanche, il se caractérise désormais par une rotation élevée des campagnes centrées sur le courrier électronique et les cycles de vie opérationnels courts, avec des objectifs en Europe et en Amérique du Nord et l’utilisation de señuelos et de marques localisées pour augmenter l’exito.
En ce qui concerne l’adoption de la technique d’ingénierie sociale ClickFix, le TA584 dépend du fait que les utilisateurs peuvent entrer dans le cadre de quatre dialogues avec de faux messages d’erreur qui les instantanés copient, collent et exécutent des commandes malveillantes de PowerShell sur leur propre équipement. C’est, à votre avis, des scripts distants intermédiaires de PowerShell qui contiennent un code utilisé et qui activent le téléchargement des logiciels malveillants.
De plus, le groupe de cybercriminalité a ajouté à ses campagnes la distribution de Tsundere Bot, une porte de stockage de malware-as-a-service qui utilise la découverte de C2 basée sur la blockchain et admet des activités ultérieures de ransomware. Certaines informations tierces sont utilisées par plusieurs acteurs de différentes solutions et sont également distribuées à travers des outils de gestion et de surveillance à distance à travers les infections Web, ainsi que par les installateurs de faux jeux vidéo.
« TA584 montre comment les cyberdélinquants peuvent perdre de leur créativité et innover rapidement pour attaquer les personnes de manière plus efficace. Nos campagnes uniques font que les détections statiques et la dépendance des indicateurs de compromis (IoC) n’ont pas de défense efficace », explique Selena Larson, analyste principale en intelligence sur les recommandations de Proofpoint. « En comprenant le comportement des groupes comme TA584, les organisations peuvent s’attendre à un meilleur panorama d’options changeantes. Les atacantes apprennent uns d’autres, car il est possible que l’activité de haut volume, hautement personnalisée et en constante évolution de ce groupe soit adoptée par d’autres dans le futur ».
Accès aux données
Les cybercriminels ont expérimenté des changements drastiques en ce qui concerne les comportements, les menaces et l’utilisation de logiciels malveillants au cours de la dernière année, avec de nombreux groupes prioritaires qui désactivent le radar du courrier électronique comme vecteur d’alerte. TA584 a rompu, sans embargo, cette tendance et a démontré des clients cohérents depuis 2020, même si l’activité récente indique que les agents infectent un spectre plus large d’objectifs.
Le groupe de cybercriminalité TA584 a ajouté à ses campagnes la distribution de Tsundere Bot, une porte de stockage de malware-as-a-service
Depuis Proofpoint, il est probable que le TA584 se centre davantage en Europe et continue à expérimenter avec différents outils de chargement, y compris les outils d’accès à distance disponibles sur les marchés criminels. Par conséquent, les experts en sécurité recommandent aux organisations de veiller à l’activation des techniques du TA584 et de mettre en œuvre des mesures de défense préventives, afin de restreindre l’exécution de PowerShell aux utilisateurs qui ne sont pas nécessaires à leurs fonctions de travail et de bloquer les hôtes associés à ces derniers. ciberdelincuentes.
Recommandations de défense pour Proofpoint
- Restreindre les utilisateurs à exécuter PowerShell au moins ce qui est nécessaire pour leur fonction de travail.
- Utilisez les politiques de contrôle des applications (comme AppLocker ou Contrôle des applications de Windows Defender) pour éviter l’exécution d’outils comme node.exe depuis des emplacements non standards et écrivables par l’utilisateur, comme « C:Users*AppDataLocal ».
- J’ai des règles de détection pour PowerShell(.)exe ou cmd(.)exe qui génèrent un processus node(.)exe, en particulier lorsque node(.)exe se trouve dans AppData d’un utilisateur ou d’autres emplacements non standards.
- Bloquer ou surveiller les points de terminaison d’Ethereum. Le malware se base sur une liste codifiée de fournisseurs publics de RPC d’Ethereum pour obtenir la direction de votre serveur C2. Bloquer (ou surveiller) le trafic saillant sur cette URL spécifique au pare-feu rouge ou au proxy Web peut empêcher le malware de recevoir vos instructions.
- Inspecter le trafic de WebSockets. Le malware utilise WebSockets (ws:// ou wss://) pour la communication C2. Implémenter la surveillance de rouge pour détecter et inspecter les connexions de WebSockets aux domaines inconnus ou sans catégorisation.
- Pensez à désactiver Windows+R en fonction de la politique du groupe pour les utilisateurs qui ne sont pas nécessaires à votre fonction de travail.
- Les organisations doivent pouvoir aider les utilisateurs à identifier l’activité et à signaler toute activité spécifique à leurs équipements de sécurité. Cette capacité est très spécifique, mais elle peut être intégrée dans un programme de capacité des utilisateurs existants.
