Les attaques de la chaîne d’approvisionnement logicielle ne ralentissent pas, et les chercheurs ont découvert un nouvel exemple ciblant des victimes en Ukraine avec des fichiers d’installation Windows malveillants conçus pour collecter et exfiltrer des données sensibles à partir de machines compromises.

La campagne impliquait les acteurs de la menace hébergeant les fichiers malveillants sur des sites torrent hébergés en Russie et en Ukraine. Les fichiers étaient déguisés en programmes d’installation légitimes pour Windows 10 et les chercheurs de Mandiant ont découvert l’opération et l’ont attribuée à un nouveau groupe inconnu qu’il suit sous le nom UNC4166. Bien que les acteurs ne soient pas connus, Mandiant a déclaré que certaines des organisations victimes chevauchaient celles qu’APT28 avait précédemment ciblées avec des attaques de logiciels malveillants destructrices. APT28, également connu sous le nom de Fancy Bear, est associé à l’unité de renseignement militaire russe GRU.

L’opération semble avoir été axée uniquement sur la collecte d’informations, sans motivation financière, Mandiant a dit. Dans certaines des organisations compromises, les acteurs UNC4166 ont installé des portes dérobées pour maintenir la persistance.

« Les ISO trojanisés étaient hébergés sur des sites de partage de fichiers torrent en ukrainien et en russe. Lors de l’installation du logiciel compromis, le logiciel malveillant recueille des informations sur le système compromis et les exfiltre. Au niveau d’un sous-ensemble de victimes, des outils supplémentaires sont déployés pour permettre une plus grande collecte de renseignements. Dans certains cas, nous avons découvert des charges utiles supplémentaires qui ont probablement été déployées après la reconnaissance initiale, notamment les portes dérobées STOWAWAY, BEACON et SPAREPART », indique un article de Mandiant sur l’opération.

Les attaques de la chaîne d’approvisionnement logicielle sont devenues un outil de choix pour certains groupes de menaces de premier plan, en particulier ceux de la communauté du renseignement. Compromettre un logiciel ou une bibliothèque et voir les résultats filtrer à travers la chaîne d’approvisionnement peut rapporter des dividendes pendant des mois ou des années à venir. Mandiant a déclaré que cette opération spécifique avait commencé il y a plusieurs mois et que l’un des fichiers ISO utilisés était conçu pour désactiver la télémétrie de sécurité et également bloquer les mises à jour automatiques.

Publicité

« L’ISO contenait des tâches planifiées malveillantes qui ont été modifiées et identifiées sur plusieurs systèmes dans trois organisations ukrainiennes différentes balisant les domaines .onion TOR à partir de la mi-juillet 2022 », a déclaré Mandiant.

« Mandiant évalue que l’auteur de la menace effectue un triage initial des appareils compromis, susceptible de déterminer si les victimes étaient intéressantes. Ce triage s’effectue à l’aide des tâches de planification cheval de Troie. Dans certains cas, l’acteur de la menace peut déployer une capacité supplémentaire pour le vol de données ou de nouvelles portes dérobées de persistance, probablement pour la redondance dans les cas de SPAREPART ou pour permettre des artisanats supplémentaires avec BEACON et STOWAWAY.

Les chercheurs ont déclaré que l’opération était probablement conçue pour recueillir des informations auprès des agences gouvernementales ukrainiennes.

« Mandiant a identifié plusieurs appareils au sein des réseaux du gouvernement ukrainien qui contenaient des tâches planifiées malveillantes qui communiquaient à un site Web TOR à partir du 12 juillet 2022 environ. Ces tâches planifiées agissent comme une porte dérobée légère qui récupère les tâches via des requêtes HTTP à une commande et un contrôle donnés (C2) serveur », a déclaré Mandiant.

« Nous pensons que l’opération était destinée à cibler des entités ukrainiennes, en raison du pack de langue utilisé et du site Web utilisé pour le diffuser. L’utilisation d’ISO contenant des chevaux de Troie est nouvelle dans les opérations d’espionnage et les capacités anti-détection incluses indiquent que les acteurs à l’origine de cette activité sont soucieux de la sécurité et patients, car l’opération aurait nécessité un temps et des ressources considérables pour développer et attendre l’installation de l’ISO. sur un réseau d’intérêt.

Dans certains cas, les appareils compromis avaient plus d’une porte dérobée, et les acteurs de la menace ont également essayé de télécharger et d’installer le navigateur Tor sur certaines machines.

Rate this post
Publicité
Article précédentPourquoi Bitcoin SV continue d’augmenter aujourd’hui
Article suivantLe créateur de Dahmer de Netflix réagit pour montrer un contrecoup
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici