TA505 revient !

Actif depuis 2014, le Threat Actor 505 a littéralement disparu des radars depuis avril. Mais le voilà qui fait son retour, à en croire Proofpoint, avec une campagne de phishing massive et l’utilisation de versions améliorées de ses outils classiques.

Egalement connu sous le doux nom de Graceful Spider (Spider étant un dénominatif identifiant des groupes d’Europe de l’Est), TA505 est apparu en 2014 et pourrit depuis cette date la vie des entreprises et des administrations. Tant et si bien que l’ANSSI lui a dédié deux rapports. Cet acteur malveillant avait pour habitude de balancer chez ses victimes du Dridex et du Locky lors de ses premières années d’existence, puis du Cl0p, dont l’ANSSI estimait que ce ransomware était spécifique à TA505, bien que le groupe ait pu le fournir à d’autres acteurs malveillants, tels que Lazarus ou Silence.

Mais voilà, depuis le début de l’année, TA505 s’est fait discret. Selon la base DarkTracer, sa dernière victime en date remonte à avril, une éternité dans le monde des ransomwares. On ignore les raisons de ce soudain silence. Mais, à en croire Proofpoint, l’Araignée Gracieuse est sur le retour.

Les chercheurs de l’éditeur en cybersécurité notent avoir observé depuis fin septembre une massification d’une campagne de phishing ressemblant « fortement » à celles lancées par TA505 en 2019 et 2020. « Parmi les points communs, on note des noms de domaine similaires, des leurres d'emails, des leurres de fichiers Excel et la distribution du cheval de Troie d'accès à distance (RAT) FlawedGrace » explique Proofpoint.

Le retour de la vengeance de l’araignée gracieuse

FlawedGrace est une backdoor RAT utilisée par TA505 de 2018 à 2020, et l’ANSSI envisageait que, tout comme la faille FlawedAmmyy, son utilisation était exclusive à ce groupe malveillant (quoique ce point reste incertain). Mais les cybercriminels derrière cette nouvelle campagne y vont de leurs petites nouveautés, telles que l’utilisation de Rebol et KiXtart, des pousseurs de charge, en lieu et place de Get2, téléchargeur célèbre auprès des cybercriminels. FlawedGrace a elle aussi eu droit à quelques améliorations.

« TA505 fait partie des précurseurs dans le monde de la cybercriminalité en changeant régulièrement leurs tactiques, les techniques et les procédures (TTPs). Si cette récente série de campagnes rappelle leur activité de 2019 et 2020, elle ne manque pas d'éléments nouveaux et intrigants. Outre la mise à jour de FlawedGrace, ils ont également remanié leurs étapes intermédiaires de chargement, remplaçant le fidèle Get2 par plusieurs nouveaux téléchargeurs codés dans des langages de script inhabituels », indique Sherrod DeGrippo, directrice Menaces émergentes chez Proofpoint.