Le groupe de piratage parrainé par l’État russe Gamaredon (alias Armageddon ou Shuckworm) continue de cibler des organisations critiques dans les secteurs de l’armée et du renseignement de sécurité ukrainiens, en utilisant un ensemble d’outils actualisé et de nouvelles tactiques d’infection.
Auparavant, les pirates russes, qui ont été liés au FSB, ont été observés en train d’utiliser des voleurs d’informations contre des organisations étatiques ukrainiennes, employant de nouvelles variantes de leur logiciel malveillant « Pteranodon » et utilisant également un pirate de modèle Word par défaut pour les nouvelles infections.
L’équipe de recherche sur les menaces de Symantec, qui fait partie de Broadcom, rapporte aujourd’hui que les acteurs de la menace ont récemment commencé à utiliser des logiciels malveillants USB pour se propager à d’autres systèmes à l’intérieur des réseaux infectés.
Un autre élément intéressant de la nouvelle campagne de Gamaredon est de cibler les départements des ressources humaines, indiquant potentiellement que les acteurs de la menace visent des attaques de harponnage au sein des organisations piratées.
Les opérations 2023
Les analystes de Symantec rapportent que l’activité de Gamaredon en 2023 a augmenté entre février et mars 2023, tandis que les pirates ont continué à maintenir une présence sur certaines machines compromises jusqu’en mai 2023.
Gamaredon continue de s’appuyer sur les e-mails de phishing pour la compromission initiale, tandis que ses cibles incluent les organisations gouvernementales, militaires, de sécurité et de recherche, en se concentrant sur leurs services des ressources humaines.
Les e-mails de phishing contiennent des pièces jointes RAR, DOCX, SFX, LNK et HTA qui, si elles sont ouvertes, lancent une commande PowerShell qui télécharge une charge utile « Pterodo » à partir du serveur de l’attaquant (C2).
Symantec a échantillonné 25 variantes de scripts PowerShell entre janvier et avril 2023, en utilisant différents niveaux d’obscurcissement et pointant vers différentes adresses IP de téléchargement Pterodo pour résister aux règles de détection statique.
Le PowerShell se copie sur la machine infectée et crée un fichier de raccourci en utilisant une extension rtk.lnk. Les LNK créés par le script prennent un large éventail de noms, certains sélectionnés spécifiquement pour piquer l’intérêt de la victime comme :
- weapons_list.rtf.lnk
- secret.rtf.lnk
- pornophoto.rtf.lnk
- my_photos.rtf.lnk
- login_password.docx.lnk
- compromising_evidence.rtf.lnk
- instructions.rtf.lnk
- account_card.rtf.lnk
- bank_accоunt.rtf.lnk
Une fois que la victime lance ces fichiers, le script PowerShell énumère tous les lecteurs de l’ordinateur et se copie sur des disques USB amovibles, augmentant ainsi la probabilité d’un mouvement latéral réussi au sein du réseau piraté.
L’une des machines compromises par Gamaredon cette année, les analystes de Symantec ont trouvé un fichier « foto.safe » qui est un script PowerShell codé en base64.
Symantec indique que l’appareil a été infecté après qu’une clé USB infectée a été branchée sur l’appareil. Cependant, on ne sait pas comment la clé USB a été infectée en premier lieu.
« Ces clés USB sont probablement utilisées par les attaquants pour se déplacer latéralement sur les réseaux victimes et peuvent être utilisées pour aider les attaquants à atteindre des machines isolées au sein d’organisations ciblées », a averti Symantec.
Symantec s’attend à ce que Gamaredon reste concentré sur l’Ukraine, continue de rafraîchir ses outils et d’enrichir ses tactiques d’attaque alors qu’il cible des données qui pourraient être utiles dans les opérations militaires russes.