L’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) avertit que le piratage de Gamaredon opère dans des attaques rapides, volant des données de systèmes piratés en moins d’une heure.

Gamaredon, alias Armageddon, UAC-0010 et Shuckworm, est un groupe de piratage de cyber-espionnage parrainé par l’État russe avec des chercheurs en cybersécurité les reliant au FSB (Service de sécurité fédéral russe) et ayant des membres qui sont d’anciens officiers du SSU qui ont fait défection en Russie en 2014.

Depuis le début de l’invasion russe, les acteurs de la menace seraient responsables de milliers d’attaques contre le gouvernement et d’autres organisations publiques et privées critiques en Ukraine.

L’accumulation de données issues de ces attaques a permis au CERT-UA de décrire les attaques du groupe, qu’il partage pour aider les défenseurs à détecter et stopper les tentatives d’infiltration du réseau.

Traits d’attaque de Gamaredon
Les attaques de Gamaredon commencent généralement par un e-mail ou un message envoyé aux cibles via Telegram, WhatsApp, Signal ou d’autres applications de messagerie instantanée.

L’infection initiale est obtenue en incitant la victime à ouvrir des pièces jointes malveillantes telles que des fichiers HTM, HTA et LNK déguisés en documents Microsoft Word ou Excel.

Une fois que la victime lance les pièces jointes malveillantes, les scripts PowerShell et les logiciels malveillants (généralement « GammaSteel ») sont téléchargés et exécutés sur l’appareil de la victime.

L’étape d’infection initiale modifie également les modèles Microsoft Office Word afin que tous les documents créés sur l’ordinateur infecté contiennent une macro malveillante qui peut propager le logiciel malveillant de Gamaredon sur d’autres systèmes.

Le script PowerShell cible les cookies du navigateur contenant des données de session pour permettre aux pirates de prendre le contrôle de comptes en ligne protégés par une authentification à deux facteurs.

Concernant la fonctionnalité de GammaSteel, CERT-UA dit qu’il cible les fichiers avec une liste spécifiée d’extensions qui sont : .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb.

Si les attaquants sont intéressés par les documents trouvés sur un ordinateur piraté, ils les exfiltrent dans les 30 à 50 minutes.

Un autre aspect intéressant des infections de Gamaredon est que les acteurs de la menace installent jusqu’à 120 fichiers infectés malveillants par semaine sur le système compromis pour augmenter la probabilité de réinfection.

« Si pendant le processus de désinfection, après avoir nettoyé le registre du système d’exploitation, supprimé des fichiers, des tâches planifiées, etc., au moins un fichier ou document infecté reste sur l’ordinateur (très souvent, les utilisateurs réinstallent le système d’exploitation et transfèrent les documents « nécessaires » sans vérifier ), l’ordinateur sera probablement à nouveau infecté. » explique CERT-UA (traduction automatique).

Toute clé USB insérée sur les ports d’un ordinateur infecté sera également automatiquement infectée par les charges utiles de compromis initiales de Gamaredon, ce qui pourrait favoriser la violation de réseaux isolés.

Enfin, les pirates modifient les adresses IP des serveurs intermédiaires de commande et de contrôle des victimes trois à six fois par jour, ce qui rend plus difficile pour les défenseurs de bloquer ou de retracer leurs activités.

À l’heure actuelle, le CERT-UA indique que le meilleur moyen de limiter l’efficacité des attaques Gamaredon est de bloquer ou de restreindre l’exécution non autorisée de mshta.exe, wscript.exe, cscript.exe et powershell.exe.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *