Microsoft et l’Ukraine CERT mettent en garde contre de nouvelles attaques du groupe de piratage Turla parrainé par l’État russe, ciblant l’industrie de la défense et les serveurs Microsoft Exchange avec une nouvelle porte dérobée de logiciels malveillants « DeliveryCheck ».

On pense que Turla, alias Secret Blizzard, KRYPTON et UAC-0003, est un acteur avancé de menace persistante (APT) lié au Service fédéral de sécurité (FSB) de Russie.

Les cyberespions ont été associés à un large éventail d’attaques contre les intérêts occidentaux au fil des ans, y compris le botnet malveillant de cyberespionnage Snake qui a récemment été interrompu lors d’une opération internationale d’application de la loi intitulée Opération MEDUSA.

Cibler Microsoft Exchange
Dans un rapport coordonné et un fil Twitter publiés aujourd’hui par le CERT-UA et Microsoft, les chercheurs décrivent une nouvelle attaque où les acteurs de la menace Turla ciblent le secteur de la défense en Ukraine et en Europe de l’Est.

Les attaques commencent par des e-mails de phishing contenant des pièces jointes Excel XLSM contenant des macros malveillantes. Lorsqu’elles sont activées, ces macros exécutent une commande PowerShell, créant une tâche planifiée se faisant passer pour un programme de mise à jour du navigateur Firefox.

Cependant, cette tâche télécharge la porte dérobée DeliveryCheck (également connue sous le nom de CapiBar et GAMEDAY) et la lance en mémoire, où elle se connecte au serveur de commande et de contrôle de l’auteur de la menace pour recevoir des commandes pour exécuter ou déployer d’autres charges utiles de logiciels malveillants.

Microsoft affirme que ces charges utiles de logiciels malveillants sont intégrées et lancées à partir de feuilles de style XSLT.

Flux d’attaque qui délivre le malware DeliveryCheck

Après avoir infecté les appareils, les pirates utilisent la porte dérobée pour exfiltrer les données des appareils compromis à l’aide de l’outil Rclone.

Ce qui distingue DeliveryCheck, c’est un composant côté serveur Microsoft Exchange qui transforme le serveur en un serveur de commande et de contrôle pour les acteurs de la menace.

Microsoft indique que ce composant est installé à l’aide de Desired State Configuration, un module PowerShell qui permet aux administrateurs de créer une configuration de serveur standardisée et de l’appliquer aux appareils.

Cette fonctionnalité est généralement utilisée pour créer un modèle de configuration par défaut qui peut ensuite être utilisé pour configurer automatiquement plusieurs appareils avec les mêmes paramètres.

Les acteurs de la menace utilisent DSC pour charger automatiquement un exécutable Windows codé en base64 qui convertit le serveur Exchange légitime en un serveur de distribution de logiciels malveillants.

Composant côté serveur Microsoft Exchange de Delivery Check

Au cours de l’attaque, Microsoft et CERT-UA ont également vu Turla abandonner la porte dérobée de vol d’informations KAZUAR, un « implant Secret Blizzard complet ».

Ce malware est un outil de cyberespionnage qui permet aux acteurs de la menace de lancer javascript sur l’appareil, de voler des données à partir des journaux d’événements, de voler des informations sur les fichiers système et de voler des jetons d’authentification, des cookies et des informations d’identification à partir d’une grande variété de programmes, y compris les navigateurs, FTP clients, logiciel VPN, KeePass, Azure, AWS et Outlook.

« L’acteur de la menace vise spécifiquement à exfiltrer des fichiers contenant des messages de l’application de messagerie populaire Signal Desktop, ce qui permettrait à l’acteur de lire des conversations Signal privées, ainsi que des documents, des images et des fichiers d’archives sur des systèmes ciblés », a déclaré l’équipe Microsoft Threat Intelligence. tweeté.

Le CERT-UA affirme avoir partagé des échantillons du nouveau logiciel malveillant avec des sociétés de cybersécurité pour faciliter la détection.

Cependant, à l’heure actuelle, seuls 14 fournisseurs sur 70 sur VirusTotal ont détecté un échantillon DeliveryCheck soumis comme un logiciel malveillant, ce qui augmentera probablement au fil de la journée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *