Une grande société de développement de logiciels dont les logiciels sont utilisés par différentes entités étatiques en Ukraine a été la cible d’un logiciel malveillant « peu commun », selon une nouvelle étude.
Le malware, observé pour la première fois le matin du 19 mai 2022, est une variante personnalisée de la porte dérobée open source connue sous le nom de GoMet et est conçu pour maintenir un accès permanent au réseau.
« Cet accès pourrait être exploité de diverses manières, y compris un accès plus approfondi ou pour lancer des attaques supplémentaires, y compris le potentiel de compromission de la chaîne d’approvisionnement logicielle », a déclaré Cisco Talos. a dit dans un rapport partagé avec The Hacker News.
Bien qu’il n’y ait pas d’indicateurs concrets reliant l’attaque à un seul acteur ou groupe, l’évaluation de la société de cybersécurité indique une activité de l’État-nation russe.
Les rapports publics sur l’utilisation de GoMet dans des attaques réelles n’ont jusqu’à présent découvert que deux cas documentés : un en 2020, coïncidant avec la divulgation de CVE-2020-5902, une faille critique d’exécution de code à distance dans le réseau BIG-IP de F5. dispositifs.
La deuxième instance a impliqué l’exploitation réussie de CVE-2022-1040, une vulnérabilité d’exécution de code à distance dans Sophos Firewall, par un groupe anonyme de menace persistante avancée (APT) plus tôt cette année.
« Nous n’avons pas vu GoMet déployé dans les autres organisations avec lesquelles nous travaillons en étroite collaboration et surveillons, ce qui implique qu’il est ciblé d’une manière ou d’une autre, mais pourrait être utilisé contre des cibles supplémentaires sur lesquelles nous n’avons pas de visibilité », Nick Biasini, responsable de la sensibilisation pour Cisco Talos, a déclaré à The Hacker News.
« Nous avons également mené une analyse historique relativement rigoureuse et voyons très peu d’utilisation de GoMet historiquement, ce qui indique en outre qu’il est utilisé de manière très ciblée. »
GoMet, comme son nom l’indique, est écrit en Go et est livré avec des fonctionnalités qui permettent à l’attaquant de réquisitionner à distance le système compromis, y compris le téléchargement de fichiers, l’exécution de commandes arbitraires et l’utilisation de l’ancrage initial pour se propager à d’autres réseaux et systèmes via ce qui est appelé un guirlande.
Une autre caractéristique notable de l’implant est sa capacité à exécuter des tâches planifiées en utilisant cron. Alors que le code d’origine est configuré pour exécuter des tâches cron une fois par heure, la version modifiée de la porte dérobée utilisée dans l’attaque est conçue pour s’exécuter toutes les deux secondes et vérifier si le logiciel malveillant est connecté à un serveur de commande et de contrôle.
« La majorité des attaques que nous avons vues récemment sont liées à l’accès, soit directement, soit via l’acquisition d’informations d’identification », a déclaré Biasini. « C’est un autre exemple de cela avec GoMet déployé en tant que porte dérobée. »
« Une fois l’accès établi, des reconnaissances supplémentaires et des opérations plus approfondies peuvent suivre. Nous nous efforçons de tuer les attaques avant qu’elles n’atteignent ce stade, il est donc difficile de prédire les types d’attaques ultérieures. »
Les découvertes arrivent alors que le Cyber Command américain mercredi partagé les indicateurs de compromission (IoC) relatifs à différents types de logiciels malveillants tels que GrimPlant, GraphSteel, Cobalt Strike Beacon et MicroBackdoor ciblant les réseaux ukrainiens ces derniers mois.
La société de cybersécurité Mandiant a depuis attribué les attaques de phishing contre deux acteurs d’espionnage suivis sous les noms UNC1151 (alias Ghostwriter) et UNC2589, ce dernier étant soupçonné « d’agir en faveur des intérêts du gouvernement russe et de mener une vaste collecte d’espionnage en Ukraine ».
