Le groupe de piratage soutenu par l’État russe Gamaredon (alias « Shuckworm »” a ciblé une mission militaire d’un pays occidental en Ukraine dans des attaques probablement déployées à partir de disques amovibles.
Les chercheurs en menaces de Symantec affirment que la campagne a débuté en février 2025 et s’est poursuivie jusqu’en mars, les pirates déployant une version mise à jour du malware GammaSteel de vol d’informations pour exfiltrer les données.
Selon le rapport, l’accès initial aux systèmes infectés a probablement été obtenu via des lecteurs amovibles contenant des logiciels malveillants .Fichiers LNK, un vecteur que Gamaredon a utilisé dans le passé.
Les chercheurs notent un changement dans les tactiques de l’auteur de la menace, notamment un passage des scripts VBS aux outils basés sur PowerShell, plus d’obscurcissement pour les charges utiles et une utilisation accrue des services légitimes pour l’évasion.
Dernières attaques de Gamaredon en Ukraine
Au cours de l’enquête, les chercheurs ont remarqué dans le registre Windows du système compromis une nouvelle valeur sous la clé UserAssist, indiquant que l’infection a démarré à partir d’un lecteur externe à partir d’un fichier de raccourci nommé files.lnk.
Ensuite, un script fortement obscurci crée et exécute deux fichiers. Le premier gère les communications de commande et de contrôle (C2), résout l’adresse du serveur à l’aide de services légitimes et se connecte aux URL protégées par Cloudflare.
Le deuxième fichier gère le mécanisme de propagation pour infecter d’autres lecteurs amovibles et réseau à l’aide de fichiers LNK, tout en masquant certains dossiers et fichiers système pour masquer la compromission.
Ensuite, Gamaredon a utilisé un script PowerShell de reconnaissance qui peut capturer et exfiltrer des captures d’écran de l’appareil infecté et recueillir des informations sur les outils antivirus installés, les fichiers et les processus en cours d’exécution.
La charge utile finale utilisée dans les attaques observées est une version PowerShell de Gamma Steel stockée dans le registre Windows.
Le malware peut voler des documents (.DOCTEUR, .PDF,.XLS, .TXT) à partir de divers endroits comme le bureau, les Documents et les Téléchargements, confirmant l’intérêt continu de Gamaredon pour l’espionnage.
En fin de compte, le malware utilise ‘certutil.exe ‘ pour hacher les fichiers et les exfiltrer à l’aide de requêtes Web PowerShell. Si l’exfiltration échoue, Gamaredon utilise cURL sur Tor pour transférer les données volées.
Enfin, une nouvelle clé est ajoutée à ‘HKCU \ Software \ Microsoft \ Windows \ CurrentVersion\Run ‘ pour établir la persistance sur l’ordinateur cible.
La récente campagne Gamaredon reflète un effort visant à accroître la discrétion et l’efficacité opérationnelles malgré la sophistication limitée du groupe de menaces par rapport aux autres acteurs étatiques russes.
Symantec commente que diverses améliorations progressives mais significatives des TTP (tactiques, techniques et procédures) du groupe de menaces augmentent les risques qu’il pose pour les réseaux occidentaux, en particulier compte tenu de la ténacité inébranlable de Gamaredon.