Le groupe de piratage parrainé par l’État russe « APT29 » (alias Nobelium, Cloaked Ursa) utilise des leurres non conventionnels comme des listes de voitures pour inciter les diplomates en Ukraine à cliquer sur des liens malveillants qui fournissent des logiciels malveillants.
APT29 est lié au service de renseignement étranger (SVR) du gouvernement russe et a été responsable de nombreuses campagnes de cyberespionnage ciblant des personnes très intéressées à travers le monde.
Au cours des deux dernières années, les pirates russes se sont concentrés sur des cibles de l’OTAN, de l’UE et de l’Ukraine, utilisant des e-mails et des documents de phishing sur des sujets de politique étrangère, ainsi que de faux sites Web pour infecter leurs cibles avec des portes dérobées furtives.
Un rapport publié aujourd’hui par l’équipe de l’unité 42 de Palo Alto Network explique qu’APT29 a fait évoluer ses tactiques de phishing, en utilisant des leurres plus personnels pour le destinataire de l’e-mail de phishing.
Voitures de luxe à Kyiv
Dans l’une des opérations APT29 les plus récentes repérées par l’unité 42, qui a débuté en mai 2023, les acteurs de la menace utilisent une publicité pour une voiture BMW pour cibler des diplomates dans la capitale ukrainienne, Kiev.
Le dépliant de vente a été envoyé aux adresses e-mail du diplomate, imitant une vente de voiture légitime diffusée deux semaines auparavant par un diplomate polonais se préparant à quitter l’Ukraine.
Lorsque les destinataires cliquent sur le lien « plus de photos de haute qualité » intégré dans le document malveillant, ils sont redirigés vers une page HTML qui fournit des charges utiles de fichiers ISO malveillants via la contrebande HTML.
La contrebande HTML est une technique utilisée dans les campagnes de phishing qui utilisent HTML5 et JavaScript pour masquer les charges utiles malveillantes dans des chaînes codées dans une pièce jointe HTML ou une page Web. Ces chaînes sont ensuite décodées par un navigateur lorsqu’un utilisateur ouvre la pièce jointe ou clique sur un lien.
L’utilisation de cette technique permet d’échapper aux logiciels de sécurité car le code malveillant est obscurci et uniquement décodé lors du rendu dans le navigateur.
Le fichier ISO contient ce qui semble être neuf images PNG mais sont, en réalité, des fichiers LNK qui déclenchent la chaîne d’infection illustrée dans le diagramme ci-dessous.
Lorsque la victime ouvre l’un des fichiers LNK se faisant passer pour des images PNG, elle lance un exécutable légitime qui utilise le chargement latéral DLL pour injecter du shellcode dans le processus actuel en mémoire.
L’unité 42 rapporte que cette campagne a ciblé au moins 22 des 80 missions étrangères à Kiev, y compris celles des États-Unis, du Canada, de la Turquie, de l’Espagne, des Pays-Bas, de la Grèce, de l’Estonie et du Danemark. Cependant, le taux d’infection reste inconnu.
Environ 80 % des adresses e-mail ayant reçu le dépliant malveillant étaient accessibles au public en ligne, tandis qu’APT29 devait avoir obtenu les 20 % restants via la compromission de compte et la collecte de renseignements.
Un autre exemple récent de la volonté d’APT29 d’exploiter des incidents réels à des fins de phishing est un PDF envoyé au ministère turc des Affaires étrangères (MFA) au début de 2023, guidant l’aide humanitaire pour le tremblement de terre qui a frappé le sud de la Turquie en février.
L’unité 42 commente que le PDF malveillant a probablement été partagé entre les employés de MFA et transmis à d’autres organisations turques, car l’attaque a profité de l’excellent timing.
Alors que le conflit en Ukraine persiste et que l’évolution de l’évolution au sein de l’OTAN menace de modifier le paysage géopolitique, les groupes de cyberespionnage russes devraient poursuivre et même intensifier leurs efforts pour cibler les missions diplomatiques.