L’Équipe ukrainienne d’intervention en cas d’urgence informatique (CERT) met en garde contre une nouvelle campagne de phishing qui a permis à des pirates informatiques liés à la Russie de déployer des logiciels malveillants inédits sur un réseau en moins d’une heure.

APT 28, alias Bière fantaisie ou Strontium, est un acteur menaçant parrainé par l’État russe connu pour cibler des entités gouvernementales, des entreprises, des universités, des instituts de recherche et des groupes de réflexion dans les pays occidentaux et les organisations de l’OTAN. Le groupe de piratage est connu pour utiliser des campagnes de phishing et exploiter les vulnérabilités zero-day dans les logiciels largement utilisés.

La dernière campagne ciblant l’Ukraine a eu lieu entre le 15 et le 25 décembre 2023, utilisant des courriels de phishing incitant les destinataires à cliquer sur un lien censé afficher un document important.

Les liens redirigent les victimes vers des ressources Web malveillantes qui utilisent JavaScript pour déposer un fichier de raccourci Windows (LNK) qui lance des commandes PowerShell pour déclencher une chaîne d’infection pour un nouveau téléchargeur de logiciels malveillants Python appelé ‘MASEPIE.’

Diagramme d’attaque

MASEPIE établit la persistance sur le périphérique infecté en modifiant le registre Windows et en ajoutant un fichier LNK au nom trompeur (‘SystemUpdate.lnk’) dans le dossier de démarrage de Windows.

CERT-UA indique que le rôle principal du logiciel malveillant est de télécharger des logiciels malveillants supplémentaires sur l’appareil infecté et de voler des données.

Le CERTIFICAT ukrainien indique qu’APT28 utilise également un ensemble de scripts PowerShell nommés « STEELHOOK » pour voler des données à partir de navigateurs Web basés sur Chrome, susceptibles d’extraire des informations sensibles telles que les mots de passe, les cookies d’authentification et l’historique de navigation.

Un autre outil utilisé dans le cadre de l’attaque est la « carte OCÉANIQUE », une porte dérobée C# utilisée principalement pour exécuter des commandes codées en base64 via cmd.exé.

OCEANMAP établit la persistance sur le système en créant un .Fichier URL nommé ‘ VMSearch.url ‘ dans le dossier de démarrage de Windows.

OCEANMAP utilise le protocole IMAP (Internet Message Access Protocol) comme canal de contrôle pour recevoir discrètement des commandes peu susceptibles de déclencher des alarmes, en les stockant sous forme de brouillons d’e-mails contenant la commande, le nom d’utilisateur et la version du système d’exploitation.

Après avoir exécuté les commandes, OCEANMAP stocke les résultats dans le répertoire de la boîte de réception, permettant à APT28 de récupérer furtivement les résultats et d’ajuster leur attaque si nécessaire.

D’autres outils déployés dans les attaques pour la reconnaissance du réseau et les mouvements latéraux incluent IMPACKET, une collection de classes Python pour travailler avec les protocoles réseau, et SMBEXEC, qui permet l’exécution de commandes à distance.

Le CERT ukrainien indique que ces outils sont déployés dans des systèmes compromis dans l’heure suivant la compromission initiale, indiquant une attaque rapide et bien coordonnée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *