De nouvelles découvertes sur un groupe de pirates informatiques lié à des cyberattaques ciblant des entreprises dans la zone de conflit russo-ukrainienne révèlent qu’il existe peut-être depuis bien plus longtemps qu’on ne le pensait.
L’auteur de la menace, suivi comme Mauvaise magie (alias Red Stinger), a non seulement été liée à une nouvelle campagne sophistiquée, mais également à un groupe d’activités qui a été révélé pour la première fois en mai 2016.
« Alors que les cibles précédentes étaient principalement situées dans les régions de Donetsk, Lougansk et de Crimée, la portée s’est maintenant élargie pour inclure des individus, des entités diplomatiques et des organismes de recherche dans l’ouest et le centre de l’Ukraine », a déclaré la société russe de cybersécurité Kaspersky. a dit dans un rapport technique publié la semaine dernière.
La campagne se caractérise par l’utilisation d’un nouveau cadre modulaire nommé CloudWizard, qui offre des capacités pour prendre des captures d’écran, enregistrer un microphone, enregistrer des frappes au clavier, saisir des mots de passe et récolter des boîtes de réception Gmail.
Bad Magic a été documenté pour la première fois par la société en mars 2023, détaillant l’utilisation par le groupe d’une porte dérobée appelée PowerMagic (alias DBoxShell ou GraphShell) et d’un cadre modulaire baptisé CommonMagic dans des attaques ciblant les territoires ukrainiens occupés par la Russie.
Plus tôt ce mois-ci, Malwarebytes a révélé au moins cinq vagues d’attaques d’espionnage montées par le groupe depuis décembre 2020.
Les informations plus approfondies partagées par Kaspersky relient Bad Magic à une activité antérieure basée sur le peignage des données de télémétrie historiques, permettant à l’entreprise d’identifier divers artefacts associés au framework CloudWizard.
Le vecteur d’accès initial utilisé pour supprimer le programme d’installation de première étape est actuellement inconnu. Cela dit, le malware est configuré pour déposer un service Windows (« syncobjsup.dll ») et un second fichier (« mods.lrc »), qui, à son tour, contient trois modules différents pour récolter et exfiltrer les données sensibles.
Les informations sont transmises sous forme cryptée à un point de terminaison de stockage en nuage contrôlé par un acteur (OneDrive, Dropbox ou Google Drive). Un serveur Web est utilisé comme mécanisme de secours dans le cas où aucun des services n’est accessible.
Kaspersky a déclaré avoir identifié des chevauchements de code source entre une ancienne version de CloudWizard et un autre malware connu sous le nom de Prikormka, qui a été découvert par la société slovaque de cybersécurité ESET en 2016.
 |
| Source de l’image : ESET |
La campagne d’espionnage, surveillée par ESET sous le nom Opération Amorceciblaient principalement les séparatistes antigouvernementaux de Donetsk et de Louhansk et les responsables gouvernementaux, politiciens et journalistes ukrainiens.
Prikormka est déployé via un compte-gouttes contenu dans des pièces jointes malveillantes et comporte 13 composants différents pour récolter différents types de données à partir de machines compromises. Les preuves recueillies par ESET montrent que le logiciel malveillant est utilisé de manière sélective depuis au moins 2008.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
CloudWizard présente également des ressemblances avec un ensemble d’intrusions associé appelé Bug Drop qui a été divulgué par CyberX (qui a depuis été acquis par Microsoft) en 2017, la société de cybersécurité industrielle le décrivant comme plus avancé que Groundbait.
Des points communs ont également été mis au jour entre CloudWizard et CommonMagic, notamment des chevauchements de victimologie et de code source, ce qui indique que l’acteur de la menace modifie à plusieurs reprises son arsenal de logiciels malveillants et infecte des cibles depuis environ 15 ans.
Le dernier développement, en attribuant le cadre CloudWizard à l’acteur derrière l’opération Groundbait et l’opération BugDrop, fournit encore une autre pièce au puzzle qui espère éventuellement révéler une vue d’ensemble des origines du mystérieux groupe.
« L’acteur de la menace responsable de ces opérations a démontré un engagement persistant et continu envers le cyberespionnage, améliorant continuellement son ensemble d’outils et ciblant les organisations d’intérêt depuis plus de 15 ans », a déclaré Georgy Kucherin, chercheur chez Kaspersky. a dit.
« Les facteurs géopolitiques continuent d’être un facteur de motivation important pour les attaques de l’APT et, compte tenu de la tension qui prévaut dans la zone de conflit russo-ukrainien, nous prévoyons que cet acteur poursuivra ses opérations dans un avenir prévisible. »
