Dans ce qui est décrit comme une tournure « sans précédent », les opérateurs du malware TrickBot ont eu recours au ciblage systématique de l’Ukraine depuis le début de la guerre fin février 2022.

On pense que le groupe a orchestré au moins six campagnes de phishing visant des cibles qui correspondent aux intérêts de l’État russe, les e-mails agissant comme des leurres pour diffuser des logiciels malveillants tels que IcedID, CobaltStrike, AnchorMail et Compteur.

Traqué sous les noms d’ITG23, Gold Blackburn et Wizard Spider, le gang de cybercriminalité à motivation financière est connu pour son développement du cheval de Troie bancaire TrickBot et a été intégré au cartel de rançongiciels Conti, désormais abandonné, plus tôt cette année.

Mais à peine quelques semaines plus tard, les acteurs associés au groupe ont refait surface avec une version remaniée du AnchorDNS porte dérobée appelée AnchorMail qui utilise les protocoles SMTPS et IMAP pour les communications de commande et de contrôle.

« Les campagnes d’ITG23 contre l’Ukraine sont remarquables en raison de la mesure dans laquelle cette activité diffère des précédents historiques et du fait que ces campagnes semblaient spécifiquement destinées à l’Ukraine avec certaines charges utiles qui suggèrent un degré plus élevé de sélection de cibles », a déclaré Ole, analyste d’IBM Security X-Force. Villadsen a dit dans un rapport technique.

Un changement notable dans les campagnes implique l’utilisation de téléchargeurs Microsoft Excel inédits et le déploiement de CobaltStrike, Meterpreter et AnchorMail en tant que charges utiles de première étape. Les attaques auraient commencé à la mi-avril 2022.

Fait intéressant, l’acteur de la menace a exploité le spectre de la guerre nucléaire dans sa ruse de courrier électronique pour diffuser l’implant AnchorMail, une tactique qui serait répétée par le groupe d’États-nations russe suivi sous le nom d’APT28 deux mois plus tard pour diffuser des logiciels malveillants voleurs de données en Ukraine.

De plus, l’échantillon Cobalt Strike déployé dans le cadre d’une campagne de mai 2022 a utilisé un nouveau crypteur surnommé Forest pour échapper à la détection, ce dernier ayant également été utilisé en conjonction avec le malware Bumblebee, donnant du crédit aux théories selon lesquelles le chargeur est exploité. par le gang TrickBot.

« Les divisions idéologiques et les allégeances sont devenues de plus en plus apparentes au sein de l’écosystème cybercriminel russophone cette année », a noté Villadsen. « Ces campagnes prouvent que l’Ukraine est dans le collimateur d’éminents groupes cybercriminels russes. »

Le développement intervient alors que les médias ukrainiens ont été ciblé avec messages d’hameçonnage contenant des documents contenant des logiciels malveillants qui exploitent la vulnérabilité Follina pour déposer le DarkCrystal RAT sur les systèmes compromis.

L’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a également averti d’intrusions menées par un groupe appelé UAC-0056 qui consiste à frapper des organisations d’État avec des leurres sur le thème du personnel pour larguer des balises Cobalt Strike sur les hôtes.

L’agence, le mois dernier, a poursuivi souligné l’utilisation de Royal Road RTF militarisation par un acteur basé en Chine nommé le L’équipe Tonto (alias Karma Panda) pour cibler les entreprises scientifiques et techniques et les organismes publics situés en Russie avec le Malware bisonal.

Attribuant ces attaques avec un niveau de confiance moyen au groupe des menaces persistantes avancées (APT), SentinelOne a dit les résultats démontrer « un effort continu » de la part de l’appareil de renseignement chinois pour cibler un large éventail d’organisations liées à la Russie.