La Pologne a déclaré qu’un groupe de menaces soutenu par l’État et lié au service de renseignement militaire russe (GRU) avait ciblé les institutions gouvernementales polonaises tout au long de la semaine.

Selon des preuves trouvées par le CSIRT MON, l’Équipe de Réponse aux incidents de sécurité informatique du pays (dirigée par le ministre polonais de la Défense Nationale) et le CERT Polska (l’équipe polonaise de réponse aux urgences informatiques), des pirates informatiques russes APT28 ont attaqué plusieurs institutions gouvernementales dans une campagne de phishing à grande échelle.

Les courriels de phishing tentaient d’inciter les destinataires à cliquer sur un lien intégré qui leur donnerait accès à plus d’informations concernant une « mystérieuse Ukrainienne » vendant des « sous-vêtements usagés » à « de hautes autorités en Pologne et en Ukraine. »

Une fois cliqué, le lien les redirigeait vers plusieurs sites Web avant d’atterrir sur une page qui téléchargeait une archive ZIP. L’archive contenait un exécutable malveillant déguisé en fichier image JPG et deux fichiers cachés: une DLL et une .Script CHAUVE-SOURIS.

Si la cible ouvre le fichier exécutable camouflé, elle charge la DLL via le chargement latéral de la DLL, qui exécute le script caché. Le script affiche une photo d’une femme en maillot de bain dans le navigateur Microsoft Edge comme distraction tout en téléchargeant simultanément un fichier CMD et en changeant son extension en JPG.

« Le script que nous avons finalement reçu ne collecte que des informations sur l’ordinateur (adresse IP et liste des fichiers dans les dossiers sélectionnés) sur lequel ils ont été lancés, puis les envoie au serveur C2. Les ordinateurs des victimes sélectionnées par les attaquants reçoivent probablement un ensemble différent de scripts de point de terminaison », a déclaré CERT Polska.

Les tactiques et l’infrastructure utilisées dans ces attaques sont identiques à celles utilisées dans une autre campagne très ciblée dans laquelle des agents d’APT28 ont utilisé des leurres de guerre Israël-Hamas pour pirater des appareils de responsables de 13 pays, y compris des membres du Conseil des droits de l’Homme des Nations Unies, avec des logiciels malveillants Headlace.

Flux d’attaque APT 28

​Depuis son apparition au milieu des années 2000, le groupe de piratage soutenu par l’État russe a coordonné de nombreuses cyberattaques de grande envergure et était lié à l’unité militaire 26165 du GRU en 2018.

Les pirates informatiques d’APT28 étaient à l’origine des piratages du Comité National démocrate (DNC) et du Comité de Campagne Démocrate du Congrès (DCCC) avant l’élection présidentielle américaine de 2016 et la violation du Parlement fédéral allemand (Deutscher Bundestag) en 2015.

Les États-Unis ont inculpé plusieurs membres d’APT28 pour leur implication dans les attaques DNC et DCCC en juillet 2018, tandis que le Conseil de l’Union européenne a sanctionné APT28 en octobre 2020 pour le piratage du Bundestag.

Il y a une semaine, l’OTAN et l’Union européenne, avec des partenaires internationaux, ont également formellement condamné une campagne de cyberespionnage à long terme APT28 contre plusieurs pays européens, dont l’Allemagne et la Tchéquie.

L’Allemagne a déclaré que le groupe de menace russe avait compromis de nombreux comptes de messagerie appartenant à des membres du comité exécutif du Parti social-démocrate. Le ministère tchèque des Affaires étrangères a également révélé qu’APT28 ciblait certaines institutions tchèques dans la même campagne Outlook en 2023.

Les attaquants ont exploité la vulnérabilité Microsoft Outlook CVE-2023-23397 dans l’attaque, une faille de sécurité utilisée comme jour zéro pour cibler les membres de l’OTAN en Europe, les agences gouvernementales ukrainiennes et le corps de réaction rapide de l’OTAN à partir d’avril 2022.

« Nous appelons la Russie à mettre fin à cette activité malveillante et à respecter ses engagements et obligations internationaux. Avec l’UE et nos alliés de l’OTAN, nous continuerons à prendre des mesures pour perturber les cyberactivités de la Russie, protéger nos citoyens et nos partenaires étrangers et demander des comptes aux acteurs malveillants », a déclaré le Département d’État américain dans un communiqué.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *