Le Groupe Malveillant SideCopy APT

SideCopy APT : Un Groupe Malveillant Émergent dans le Paysage Cybernétique

Depuis ses débuts en 2019, le groupe malveillant SideCopy APT a captivé l’attention des experts en sécurité pour ses tactiques sophistiquées et son ciblage précis. Opérant avec une précision chirurgicale, SideCopy s’est taillé une réputation redoutable en ciblant exclusivement les forces de défense et le personnel militaire indien.

S’inspirant du modus operandi des groupes malveillants APT, SideCopy déploie des techniques complexes pour infiltrer ses cibles. Le nom “SideCopy” tire son inspiration de sa chaîne d’infection, qui cherche à imiter celle de Sidewinder, un groupe menaçant présumé originaire d’Inde. Bien que ses origines exactes demeurent obscures, SideCopy est soupçonné d’avoir des liens avec des acteurs malveillants en Asie du Sud, notamment en Afghanistan, au Bangladesh, en Inde et au Pakistan.

Grâce aux efforts de Cyble, une plateforme spécialisée dans la compilation d’outils, de techniques et de procédures utilisés par les acteurs de la menace, nous avons pu obtenir un aperçu détaillé des méthodes employées par SideCopy. Les experts en sécurité de Cyble ont observé que les opérateurs de SideCopy sont particulièrement vigilants quant à la détection de leurs logiciels malveillants, mettant rapidement à jour leurs modules dès qu’ils sont repérés par des antivirus.

La plupart des infrastructures de commandement et de contrôle (C&C) sont attribuées à Contabo GmbH, et l’infrastructure réseau présente des similitudes avec le groupe de menaces persistantes avancées (APT) Transparent Tribe. Ces liens soulignent la sophistication et la complexité des opérations de SideCopy.

Plus récemment, en décembre 2021, l’équipe Malwarebytes Threat Intelligence a identifié de nouveaux développements dans les activités de SideCopy. Ils ont découvert que le groupe concevait des leurres génériques pour des campagnes de spam, ainsi qu’un serveur de commande et de contrôle principal utilisé pour surveiller et contrôler les victimes.

SideCopy a affiné ses techniques au fil du temps, exploitant divers vecteurs d’attaque pour infiltrer ses cibles :

  • Spearphishing : En envoyant des e-mails personnalisés contenant des pièces jointes malveillantes, SideCopy cherche à compromettre les systèmes de ses victimes.
  • Spam Lures : Le groupe utilise des leurres génériques dans des campagnes de spam pour collecter des informations sensibles, souvent en utilisant des fichiers d’archives contenant des Lnk, des documents Microsoft Publisher ou des applications trojanisées.
  • Exploitation de Macros : Les documents Microsoft Office Publisher contiennent des macros malveillantes qui exécutent des fichiers hta via un appel à mshta.exe.
  • Utilisation de Domaines Compromis : SideCopy héberge ses charges utiles malveillantes sur des domaines compromis, rendant leur détection plus difficile pour les défenses traditionnelles.

En conclusion, l’ascension de SideCopy APT témoigne de la sophistication croissante des menaces cybernétiques, mettant en lumière l’importance de la vigilance et de la préparation dans le paysage numérique actuel. Avec leurs tactiques évoluées et leur ciblage précis, les opérateurs de SideCopy continuent de représenter une menace sérieuse pour les organisations, en particulier dans le domaine de la défense et de la sécurité nationale.

A propos de l'auteur

Retour en haut