Arctic Wolf Labs a identifié une campagne de cyber-espionnage sophistiquée orchestrée par le groupe Dropping Elephant APT, ciblant les entreprises de défense turques. Cette attaque utilise des techniques de spear-phishing en se basant sur des thèmes de conférences pour piéger les victimes.
L’attaque commence par un fichier LNK malveillant se faisant passer pour une invitation à une conférence sur les systèmes de véhicules sans pilote. Ce fichier exécute un script PowerShell pour télécharger cinq composants depuis expouav[.]org. Parmi ces composants, on trouve un lecteur VLC légitime et un fichier libvlc.dll malveillant utilisé pour charger du shellcode. Un fichier vlc.log contient une charge utile chiffrée, et le Planificateur de tâches de Microsoft assure la persistance de l’attaque.
La charge utile finale est un RAT x86 qui communique avec le serveur C2 roseserve[.]org. Ce RAT prend en charge des fonctionnalités telles que la capture d’écran, le téléchargement et le téléversement de fichiers, l’exécution de commandes et l’injection de processus.
Les IOCs incluent :
- expouav[.]org
- roseserve[.]org
Les TTPs identifiés :
- Spear-phishing thématique
- Fichiers LNK malveillants
- Side-loading de DLL
- Persistance via le Planificateur de tâches
Cet article est une analyse de menace visant à informer sur les tactiques évolutives utilisées par le groupe APT Dropping Elephant, mettant en lumière les risques pour les entreprises de défense turques dans le contexte des tensions régionales.
🧠 TTPs et IOCs détectés
TTP
[‘Spear-phishing thématique’, ‘Fichiers LNK malveillants’, ‘Side-loading de DLL’, ‘Persistance via le Planificateur de tâches’]
IOC
[’expouav[.]org’, ‘roseserve[.]org’]
🔗 Source originale : https://arcticwolf.com/resources/blog/dropping-elephant-apt-group-targets-turkish-defense-industry/