Un groupe de piratage avancé nommé « Winter Vivern » cible les organisations gouvernementales européennes et les fournisseurs de services de télécommunications pour mener des activités d’espionnage.
Les activités du groupe s’alignent sur les intérêts des gouvernements russe et biélorusse, on pense donc qu’il s’agit d’un groupe pro-russe APT (menace persistante avancée).
SentinelLabs rapporte que le groupe de menaces fonctionne avec des ressources limitées ; cependant, leur créativité compense ces limites.
Activité récente
Winter Vivern a été documenté pour la première fois par DomainTools en 2021 lorsqu’il a été vu ciblant des organisations gouvernementales en Lituanie, en Slovaquie, au Vatican et en Inde.
Dans des campagnes plus récentes vues par Sentinel Labs, les pirates informatiques ciblent des individus travaillant dans les gouvernements de Pologne, d’Italie, d’Ukraine et d’Inde.
En plus des cibles étatiques de premier plan, les pirates ont également ciblé des entreprises de télécommunications, telles que celles qui soutiennent l’Ukraine depuis l’invasion russe.
À partir du début de 2023, les pirates ont créé des pages Web qui imitaient celles du Bureau central polonais de lutte contre la cybercriminalité, du ministère ukrainien des Affaires étrangères et du Service de sécurité ukrainien.
Ces sites distribuent des fichiers malveillants aux visiteurs qui s’y retrouvent en cliquant sur des liens contenus dans des e-mails malveillants.
SentinelLabs a déjà vu des fichiers de feuille de calcul (XLS) avec des macros malveillantes qui lancent PowerShell être déposés sur des sites clonés utilisés par l’APT.
Déploiement de faux antivirus
Un exemple de l’ingéniosité de Winter Vivern dans le rapport Sentinel Labs est l’utilisation de fichiers batch Windows pour se faire passer pour des scanners antivirus tout en téléchargeant en réalité des charges utiles malveillantes.
Comme vous pouvez le voir dans les fichiers de commandes ci-dessous, les fichiers malveillants feront semblant d’effectuer une analyse antivirus, indiquant un pourcentage de temps restant, tout en téléchargeant silencieusement une charge utile malveillante à l’aide de PowerShell.
La charge utile livrée via ce processus est nommée « Aperetif », ce que le CERT ukrainien a documenté en détail dans un rapport de février 2023.
Le logiciel malveillant est hébergé sur des sites Web WordPress compromis, qui sont couramment utilisés pour les campagnes de distribution de logiciels malveillants.
Le logiciel malveillant Aperetif est capable d’analyser et d’exfiltrer automatiquement les fichiers, de prendre des captures d’écran et d’envoyer toutes les données sous une forme codée en base64 à une URL de serveur de commande et de contrôle codée en dur (marakanas[.]com).
SentinelLabs a récemment repéré une nouvelle charge utile utilisée par Winter Vivern, qui semble avoir des fonctionnalités similaires à Aperefit, mais sa conception est incomplète, ce qui indique qu’il s’agit d’un travail en cours.
Dans les deux cas, qui se chevauchent dans leur déploiement, les balises malveillantes se connectent au C2 à l’aide de PowerShell et attendent des instructions ou des charges utiles supplémentaires.
En conclusion, Winter Vivern est un groupe qui utilise une approche relativement simpliste mais efficace pour inciter ses cibles à télécharger des fichiers malveillants. Dans le même temps, leur profil bas les a aidés à rester sous-déclarés.