De Dridex à CLOP, l’évolution du groupe TA505 passé au crible par l’Anssi

Le groupe TA505 (Threat actor 505, ndlr) doit son nom aux équipes de Proofpoint, qui ont été les premières à identifier et analyser l’activité de ce groupe très actif depuis 2014 dans un rapport publié en 2017. Depuis, on peut suivre l’activité de TA505, qui a su évoluer et gagner en compétence au fil des années pour poursuivre ses activités criminelles en ligne.

La première partie du rapport se concentre sur l’activité du groupe TA505 dans la période allant de 2014 à 2018. L’Anssi estime en effet que « jusqu’en 2017, son activité semble se concentrer sur la distribution de chevaux de Troie bancaires et de rançongiciels ». Et en la matière, TA505 joue avec des logiciels malveillants bien connus : le groupe est ainsi l’un des premiers à avoir distribué le malware bancaire Dridex, dès juillet 2014. Cette utilisation prématurée de Dridex a conduit certains analystes à penser que TA505 était à l’origine du malware Dridex (et nous avions également relayé cette erreur), mais l’Anssi considère le groupe comme des « affiliés » du botnet Dridex, probablement proches du groupe Evil Corp, qui opère le botnet.

Outre Dridex, TA505 s’est aussi illustré en 2016 en diffusant massivement le rançongiciel Locky. Mais là aussi, TA505 est un simple affilié, rappelle l’Anssi, qui reprend ici à son compte les conclusions de Proofpoint. Le groupe emploie d’ailleurs d’autres souches de ransomwares dans plusieurs autres campagnes.

Le tournant de 2018

En 2018, le modus operandi du groupe change : « TA505 diminue alors graduellement sa distribution de codes malveillants bancaires et rançongiciels pour passer à la distribution de portes dérobées », indique le rapport de l’agence. Le groupe passe à des attaques plus sophistiquées allant au-delà de la simple exécution d’un logiciel malveillant sur les ordinateurs de ses cibles : TA505 vise maintenant à compromettre l’ensemble du système d’information de ses cibles, revend parfois les accès obtenus à d’autres groupes.

A cette période, les outils et logiciels malveillants utilisés par le groupe évoluent afin de s’adapter à leurs nouveaux modes d’activité. Le vecteur d’infection initial reste le même : le courriel d’hameçonnage contenant une pièce jointe malveillante ou un lien vers un site malveillant. En guise de charge utile, « TA505 dispose d’un arsenal d’attaque varié à déployer chez les victimes ayant exécuté ses pièces jointes malveillantes. Il est composé de codes aussi bien disponibles publiquement que commercialement sur le marché noir, ou qui semblent lui être exclusifs ».

Le groupe a ainsi eu recours à des logiciels malveillants variés, expérimentant avec différents outils. L’Anssi indique néanmoins que le groupe semble se concentrer sur l’utilisation du malware Get2, en conjonction avec la porte dérobée FlawedGrace et le malware SDBot. Il est également l’un des utilisateurs principaux de la porte dérobée FlawedAmmyy, un malware de type RAT (Remote Administration Tool).

TA505 a largement recours à des outils disponibles commercialement ou en open source : l’Anssi constate ainsi l’utilisation de Mimikatz pour l’élévation de privilège, de l’utilitaire PingCastle afin de localiser les faiblesses de l’Active Directory de la cible ou encore l’utilisation de l’outil de test d’intrusion Cobalt Strike.

TA505 s’adonne toujours au chiffrement des appareils de ses cibles, mais a dorénavant recours au ransomware CLOP. L’Anssi avait publié l’année dernière un document revenant sur les spécificités du rançongiciel, soupçonné d’avoir été le logiciel malveillant employé dans l’attaque ayant paralysé le CHU de Rouen.

Au cœur de l’écosystème

L’évolution constante des méthodes et des outils de TA505 rend son identification parfois délicate, et ses liens avec d’autres groupes cybercriminels connus ne simplifient pas la chose. L’Anssi note ainsi que le groupe présente des liens et des similitudes avec les groupes Lazarus, Silence, FIN7, les opérateurs du botnet Necurs ou encore le groupe Evil Corp, opérateur du botnet Dridex.

Comme l’envisage le rapport : « il est possible que TA505 soit un hacker-for-hire, c’est-à-dire un prestataire de service en compromission et qualification d’accès au sein de SI ». L’Anssi considère que le groupe pourrait mener à la fois des attaques pour son propre compte et d’autres pour le compte de ses « clients ». Le CERT-FR publie également des indicateurs de compromission liés aux précédentes attaques du groupe, afin d’aider les entreprises à mieux détecter les actions du groupe.