Au moins trois groupes différents de menace persistante avancée (APT) du monde entier ont lancé des campagnes de harponnage à la mi-mars 2022 en utilisant la guerre russo-ukrainienne en cours comme leurre pour distribuer des logiciels malveillants et voler des informations sensibles.

Les campagnes, menées par El Machete, Lyceum et SideWinder, ont ciblé divers secteurs, notamment les secteurs énergétique, financier et gouvernemental au Nicaragua, au Venezuela, en Israël, en Arabie saoudite et au Pakistan.

« Les attaquants utilisent des leurres allant de documents d’apparence officielle à des articles de presse ou même des offres d’emploi, selon les cibles et la région », a déclaré Check Point Research dans un rapport. « Beaucoup de ces documents leurres utilisent des macros malveillantes ou l’injection de modèles pour prendre pied dans les organisations ciblées, puis lancer des attaques de logiciels malveillants. »

Les chaînes d’infection d’El Machete, un acteur de menace hispanophone documenté pour la première fois en août 2014 par Kaspersky, impliquent l’utilisation de documents leurres macro-lacés pour déployer un cheval de Troie d’accès à distance open source appelé Loki.Rat, capable de récolter des frappes au clavier, des informations d’identification , et les données du presse-papiers ainsi que l’exécution d’opérations sur les fichiers et l’exécution de commandes arbitraires.

Une deuxième campagne provient du groupe iranien APT connu sous le nom de Lyceum qui, selon Check Point, a lancé une attaque de phishing en utilisant un e-mail prétendument sur les « crimes de guerre russes en Ukraine » pour fournir des compte-gouttes .NET et Golang de première étape, qui sont ensuite utilisés pour déployer un porte dérobée pour exécuter des fichiers récupérés à partir d’un serveur distant.

Un autre exemple est SideWinder, une équipe de piratage parrainée par l’État qui opérerait pour soutenir les intérêts politiques indiens et avec un accent particulier sur ses voisins la Chine et le Pakistan. La séquence d’attaque, dans ce cas, utilise un document armé qui exploite la faille de l’éditeur d’équations dans Microsoft Office (CVE-2017-11882) pour distribuer un logiciel malveillant de vol d’informations.

Les résultats font écho à des avertissements similaires du Threat Analysis Group (TAG) de Google, qui a révélé que des groupes de menaces soutenus par des États-nations d’Iran, de Chine, de Corée du Nord et de Russie et de nombreux autres acteurs criminels et à motivation financière exploitent des thèmes liés à la guerre dans le phishing. campagnes, tentatives d’extorsion en ligne et autres activités malveillantes.

« Bien que l’attention du public ne s’attarde généralement pas sur un seul problème pendant une période prolongée, la guerre russo-ukrainienne est une exception évidente », a déclaré la société israélienne. « Cette guerre affecte plusieurs régions du monde et a des ramifications potentiellement importantes. En conséquence, nous pouvons nous attendre à ce que les acteurs de la menace APT continuent d’utiliser cette crise pour mener des campagnes de phishing ciblées à des fins d’espionnage. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *