Des pirates enregistrent d’anciens noms de domaines

Des pirates informatiques reprennent la main sur des noms de domaines vieux de 10 ans. Ils servaient à exploiter le code malveillant Andromada.

Un groupe de pirates informatiques, baptisé Turla, soupçonné d’être une équipe liée à la Russie – a réenregistré au moins trois anciens domaines associés au malware Andromeda.

Originalité de cette nouvelle prise en main, les adresses étaient restées sous silence depuis dix ans. Bilan, cette récupération permettrait au groupe de distribuer ses propres outils de reconnaissance et de surveillance. Ils cibleraient avant tout des entreprises ukrainiennes.

La société de cybersécurité américaine Mandiant a déclaré que Turla Team APT, également connue sous le nom d’UNC4210, a pris le contrôle de trois domaines qui faisaient partie de la défunte infrastructure de commande et de contrôle (C2) d’Andromeda pour se reconnecter aux systèmes compromis.

La finalité a été de distribuer un utilitaire de reconnaissance connu sous le nom de Kopiluwak et une porte dérobée connue sous le nom de QuietCanary.

Diffusé par clé USB

Andromeda est un programme malveillant prêt à l’emploi. Il remonte au début des années 2010 (première trace publique 2013) et compromet les systèmes via des clés USB infectées.

Après la compromission, le code malveillant se connecte à une liste de domaines. La plupart avaient été mis hors ligne. Il n’y a aucune relation entre l’équipe Turla et le groupe derrière Andromeda, ce qui rend la cooptation des systèmes infectés précédents assez nouvelle. « Coopter les domaines Andromeda et les utiliser pour fournir des logiciels malveillants aux victimes d’Andromeda est une nouveauté« , explique la société de cybersécurité.

Nous avons vu des pirates réenregistrer des domaines (FBI) ou d’autre groupe (ReVIL, …), mais cela semble être la première fois qu’un groupe réenregistre des domaines liés à la distribution de malware.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr
  1. dle_it Reply

    Hello. Hier j’ai eu l’idée de taper l’URL de mon ancien site internet décommissionné depuis 2010-12, aujourd’hui je lis cet article, hazard ? Je ne crois pas 😮
    Quoi qu’il en soit on retrouve mon ancienne bannière et la concaténation du contenu de plusieurs pages de l’époque. Vraiment étrange, j’ai l’impression d’avoir vu un fantôme

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.