L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a mis en garde contre les cyberattaques ciblant les organes de l’État dans le pays dans le cadre d’une campagne d’espionnage.
Le jeu d’intrusion, attribué à un acteur menaçant suivi par l’autorité sous le nom d’UAC-0063 depuis 2021, exploite les leurres de phishing pour déployer une variété d’outils malveillants sur les systèmes infectés. Les origines de l’équipe de piratage sont actuellement inconnues.
Dans la chaîne d’attaques décrite par l’agence, les e-mails visaient un ministère non spécifié et prétendaient provenir de l’ambassade du Tadjikistan en Ukraine. On soupçonne que les messages ont été envoyés à partir d’une boîte aux lettres précédemment compromise.
Les e-mails sont accompagnés d’un document Microsoft Word qui, lors de l’activation des macros, lance un VBScript codé appelé HATVIBE, qui est ensuite utilisé pour déposer des logiciels malveillants supplémentaires.
Cela inclut un enregistreur de frappe (LOGPIE), une porte dérobée basée sur Python capable d’exécuter des commandes envoyées depuis un serveur distant (CHERRYSPY) et un outil axé sur l’exfiltration de fichiers avec des extensions spécifiques (STILLARCH ou DownEx).
Il convient de noter que DownEx a récemment été documenté par Bitdefender comme étant utilisé par un acteur inconnu dans des attaques très ciblées visant des entités gouvernementales au Kazakhstan et en Afghanistan.
« L’étude complémentaire de l’infrastructure et des dossiers connexes a permis de conclure que parmi les objets d’intérêt du groupe figurent des organisations de Mongolie, du Kazakhstan, du Kirghizistan, d’Israël, [and] Inde », a déclaré le CERT-UA.
Les résultats montrent que certains acteurs de la menace emploient encore logiciels malveillants basés sur des macros bien que Microsoft désactive la fonctionnalité par défaut dans les fichiers Office téléchargés à partir du Web.
Cela dit, les restrictions de Microsoft ont conduit plusieurs groupes d’attaque à expérimenter et à adapter leurs chaînes d’attaque et leurs mécanismes de livraison de charge utile pour inclure des types de fichiers peu courants (CHM, ISO, LNK, VHD, XLL et WSF) et des techniques telles que la contrebande HTML.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
La société de sécurité d’entreprise Proofpoint a déclaré avoir observé plusieurs courtiers d’accès initial (IAB) – des acteurs qui infiltrent des cibles majeures puis vendent cet accès à d’autres cybercriminels à des fins lucratives – en utilisant des fichiers PDF et OneNote à partir de décembre 2022.
« L’expérimentation et le pivotement régulier vers de nouvelles techniques de livraison de charge utile par les acteurs de la menace suivis, en particulier les IAB, sont très différents des chaînes d’attaque observées avant 2022 et annoncent une nouvelle normalité d’activité de menace », a déclaré la société. a dit.
« Les acteurs cybercriminels les plus expérimentés ne s’appuient plus sur une ou quelques techniques, mais développent et itèrent fréquemment de nouveaux TTP. Le rythme rapide des changements pour de nombreux acteurs de la menace suggère qu’ils ont le temps, la capacité et la compréhension du paysage des menaces. développer et exécuter rapidement de nouvelles techniques. »
