20 décembre 2022Ravie LakshmananCyberguerre / Cyberattaque

Guerre D'ukraine

Le groupe Gamaredon, lié à la Russie, a tenté sans succès de s’introduire dans une grande société de raffinage de pétrole dans un État membre de l’OTAN plus tôt cette année au milieu de la guerre russo-ukrainienne en cours.

L’attaque, qui a eu lieu le 30 août 2022, n’est qu’une des multiples attaques orchestrées par la menace persistante avancée (APT) attribuée au Service fédéral de sécurité (FSB) de Russie.

Gamaredon, également connu sous les surnoms Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa et Winterflounder, a l’habitude de s’attaquer principalement aux entités ukrainiennes et, dans une moindre mesure, aux alliés de l’OTAN pour récolter des données sensibles.

Les Pirates De Gamaredon

« Alors que le conflit se poursuivait sur le terrain et dans le cyberespace, Trident Ursa a fonctionné en tant que créateur d’accès dédié et collecteur de renseignements », Palo Alto Networks Unit 42 m’a dit dans un rapport partagé avec The Hacker News. « Trident Ursa reste l’un des APT les plus envahissants, les plus intrusifs, les plus actifs et les plus ciblés ciblant l’Ukraine. »

Publicité
La Cyber-Sécurité

La surveillance continue par Unit 42 des activités du groupe a découvert plus de 500 nouveaux domaines, 200 échantillons de logiciels malveillants et de multiples changements dans ses tactiques au cours des 10 derniers mois en réponse à des priorités en constante évolution et en expansion.

Au-delà des cyberattaques, la communauté de la sécurité au sens large aurait été la cible de tweets menaçants d’un prétendu associé de Gamaredon, mettant en évidence les techniques d’intimidation adoptées par l’adversaire.

D’autres méthodes remarquables incluent l’utilisation de pages Telegram pour rechercher des serveurs de commande et de contrôle (C2) et DNS à flux rapide pour faire tourner de nombreuses adresses IP dans un court laps de temps afin de rendre plus difficiles les efforts de blocage et de retrait basés sur IP.

Hackers Russes

Les attaques elles-mêmes impliquent la livraison de pièces jointes militarisées intégrées dans des e-mails de harponnage pour déployer une porte dérobée VBScript sur l’hôte compromis, capable d’établir la persistance et d’exécuter du code VBScript supplémentaire fourni par le serveur C2.

Des chaînes d’infection de Gamaredon ont également été observées tirant parti du géoblocage pour limiter les attaques à des emplacements spécifiques tout en utilisant des exécutables de compte-gouttes pour lancer les charges utiles VBScript de la prochaine étape, qui se connectent ensuite au serveur C2 pour exécuter d’autres commandes.

Le mécanisme de géoblocage fonctionne comme un angle mort de sécurité car il réduit la visibilité des attaques de l’acteur menaçant en dehors des pays ciblés et rend ses activités plus difficiles à suivre.

« Trident Ursa reste un APT agile et adaptatif qui n’utilise pas de techniques trop sophistiquées ou complexes dans ses opérations », ont déclaré les chercheurs. « Dans la plupart des cas, ils s’appuient sur des outils et des scripts accessibles au public – ainsi qu’une quantité importante d’obfuscation – ainsi que sur des tentatives de phishing de routine pour exécuter avec succès leurs opérations. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentHuawei ferme son unité commerciale d’entreprise en Russie
Article suivantFNB métavers dépassant la classification des sous-thèmes – Commentaire
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici