Les récentes attaques associées à l’acteur de la menace connu sous le nom de StrongPity semblent se concentrer sur la communauté kurde en Turquie et en Syrie, selon les chercheurs en sécurité de Bitdefender.

Actif depuis au moins 2012 et également suivi comme Promethium, l’acteur de la menace a été initialement détaillé en 2016, alors qu’il se concentrait principalement sur les victimes en Italie, en Turquie et en Belgique. On pense que le groupe est parrainé par l’État, mais il semble y avoir peu de preuves à l’appui.

Malgré la publication de plusieurs rapports détaillant ses activités, l’acteur de la menace reste actif et continue de cibler les victimes dans diverses régions, dont la Colombie, l’Inde, le Canada et le Vietnam, révèle Cisco Talos. Malgré cela, cependant, la plupart des victimes du groupe se trouvent en Turquie, explique Bitdefender.

Les outils, tactiques et procédures (TTP) du groupe ont connu peu de changements au cours des quatre dernières années, et il continue de compter sur des installateurs de chevaux de Troie d’applications bien connues pour infecter ses victimes. En outre, l’acteur semble continuer de s’appuyer sur des attaques de points d’eau.

StrongPity est connu pour s’engager dans le cyberespionnage, et les campagnes récemment observées ne sont pas différentes. Cependant, l’adversaire semble avoir étendu ses opérations à de nouvelles régions, au-delà des zones géographiques d’Europe, d’Afrique du Nord et du Moyen-Orient précédemment ciblées.

Au cours de l’année écoulée, l’acteur de la menace a mené au moins trois campagnes différentes, qui se chevauchent. De plus, certains des domaines utilisés dans ces attaques reçoivent toujours des hits, ce qui suggère qu’ils continuent d’être un vecteur d’infection actif.

Depuis juillet 2019, le groupe a utilisé quatre nouvelles applications cheval de Troie, à savoir le navigateur Firefox, le client VPN VPNpro, la collection de pilotes DriverPack et le lecteur multimédia 5kPlayer, tous signés avec un certificat auto-signé.

Le principal malware de l’acteur de la menace a été mis à jour avec de nouvelles méthodes d’envoi de requêtes au …

Voir la source de cette publication