Microsoft pointe une recrudescence des cyberattaques visant l’Ukraine

Microsoft pointe une recrudescence des cyberattaques visant l'Ukraine

Alors que les tensions entre l’Ukraine et la Russie sont au plus haut, Microsoft vient de détailler une campagne de piratage liée aux autorités russes destinée à paralyser les autorités ukrainiennes. Selon le géant américain, le groupe de pirates baptisé Actinium “cible ou compromet des comptes” d’agences et d’administrations ukrainiennes depuis le mois d’octobre dernier. “Depuis octobre 2021, Actinium a ciblé ou compromis des comptes d’organisations essentielles à la réponse d’urgence et à la garantie de la sécurité du territoire ukrainien, ainsi que des organisations qui seraient impliquées dans la coordination de la distribution de l’aide internationale et humanitaire à l’Ukraine en cas de crise”, indique Microsoft.

Le Service de sécurité de l’Ukraine (SSU), qui dirige les efforts de contre-espionnage de l’Ukraine, appelle de son côté ce groupe Armageddon. Le SSU a retracé les premières activités du groupe depuis au moins 2014 et affirme qu’il se concentre sur la collecte de renseignements en Crimée, principalement par le biais du phishing et des logiciels malveillants. Armageddon est connu pour ses cyberattaques visant à recueillir des renseignements auprès des organismes de sécurité ukrainiens. Microsoft a donné la priorité à son rapport sur l’activité récente d’Actinium alors que les inquiétudes augmentent quant aux préparatifs apparents de la Russie pour envahir son voisin ukrainien.

Bien qu’elles ne soient peut-être pas aussi sophistiquées ou furtives, les tactiques d’Actinium évoluent constamment et privilégient l’évasion des logiciels anti-malware, selon Microsoft. Il utilise une série d’e-mails ciblés de “spear-phishing” qui emploient des modèles de documents à distance et des scripts macro à distance pour infecter uniquement des cibles sélectionnées tout en minimisant les chances de détection par les systèmes anti-malware d’analyse des pièces jointes. “L’injection de modèles à distance permet de s’assurer que le contenu malveillant n’est chargé que lorsque cela est nécessaire, par exemple, lorsque l’utilisateur ouvre le document”, explique-t-on du côté de Microsoft.

publicité

Un arsenal divers et varié

“Cela aide les attaquants à échapper aux détections statiques, par exemple, par les systèmes qui analysent les pièces jointes à la recherche de contenu malveillant. Le fait que la macro malveillante soit hébergée à distance permet également à un attaquant de contrôler quand et comment le composant malveillant est diffusé, ce qui permet d’échapper encore davantage à la détection en empêchant les systèmes automatisés d’obtenir et d’analyser le composant malveillant.” Le groupe utilise également des “web bugs” qui permettent à l’expéditeur de savoir quand un message a été ouvert et rendu. Parmi les documents de leurre, Microsoft cite des contenus venant d’expéditeurs se faisant passer pour l’Organisation mondiale de la santé et contiennent des mises à jour sur l’épidémie de Covid-19.

Les pièces jointes du phishing contiennent une charge utile qui exécute des charges utiles secondaires sur un appareil compromis. Il utilise une série de scripts de “mise en scène” tels que des scripts VBS fortement obscurcis, des commandes PowerShell obscurcies, des archives auto-extractibles et des fichiers LNK, soutenus par des tâches programmées curieusement nommées dans les scripts pour maintenir la persistance. En un mois, Microsoft a constaté qu’Actinium utilisait plus de 25 domaines uniques et plus de 80 adresses IP uniques pour soutenir la mise en place de charges utiles et son infrastructure de commande et de contrôle (C2), ce qui indique qu’elle modifie souvent son infrastructure pour entraver les enquêtes.

Microsoft confirme que le malware Pterodo fait partie des outils privilégiés d’Actinium pour obtenir un accès interactif aux réseaux cibles. L’autre malware clé d’Actinium est QuietSieve, utilisé pour exfiltrer des données de l’hôte compromis, et pour recevoir et exécuter une charge utile à distance de l’opérateur. Microsoft note qu’Actinium développe rapidement une gamme de charges utiles aux capacités légères via des scripts obfusqués qui sont utilisés pour déployer des logiciels malveillants plus avancés à un stade ultérieur. Le développement agile de ces scripts, que Microsoft décrit comme des “cibles à évolution rapide avec un haut degré de variance”, permet d’échapper à la détection antivirus. Parmi les exemples de ces téléchargeurs figurent DinoTrain, DilongTrash, Obfuberry, PowerPunch, DessertDown et Obfumerry.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *