Des groupes de hackers pro-russes ont exploité une vulnérabilité de sécurité récemment révélée dans l’utilitaire d’archivage WinRAR dans le cadre d’une campagne de phishing conçue pour récupérer les informations d’identification des systèmes compromis.
« L’attaque implique l’utilisation de fichiers d’archives malveillants qui exploitent la vulnérabilité récemment découverte affectant les versions du logiciel de compression WinRAR antérieures à 6.23 et identifiée comme CVE-2023-38831 », a déclaré Cluster25 dans un rapport publié la semaine dernière.
L’archive contient un fichier PDF piégé qui, lorsqu’on clique dessus, provoque l’exécution d’un script Windows Batch, qui lance des commandes PowerShell pour ouvrir un shell inversé qui donne à l’attaquant un accès à distance à l’hôte ciblé.
Un script PowerShell est également déployé qui vole les données, y compris les informations de connexion, des navigateurs Google Chrome et Microsoft Edge. Les informations capturées sont exfiltrées via un webhook de service Web légitime[.]site.
CVE-2023-38831 fait référence à une faille de haute gravité dans WinRAR qui permet aux attaquants d’exécuter du code arbitraire lorsqu’ils tentent d’afficher un fichier inoffensif dans une archive ZIP. Les conclusions du Group-IB d’août 2023 ont révélé que le bug avait été utilisé comme un Zero Day depuis avril 2023 dans des attaques ciblant les traders.
Cette évolution intervient alors que Mandiant, propriété de Google, a répertorié les opérations de phishing « en évolution rapide » de l’acteur étatique russe APT29 ciblant les entités diplomatiques dans un contexte d’accélération du rythme et d’accent mis sur l’Ukraine au premier semestre 2023.
Les changements substantiels apportés aux outils et au savoir-faire d’APT29 sont « probablement conçus pour prendre en charge l’augmentation de la fréquence et de la portée des opérations et entraver l’analyse médico-légale », a déclaré la société, qui a « utilisé plusieurs chaînes d’infection simultanément dans différentes opérations ».
Certains des changements notables incluent l’utilisation de sites WordPress compromis pour héberger les charges utiles de première étape ainsi que des composants supplémentaires d’obscurcissement et d’anti-analyse.
AT29, qui a également été associé à une exploitation axée sur le cloud, est l’un des nombreux groupes d’activités originaires de Russie qui ont pointé du doigt l’Ukraine après le début de la guerre au début de l’année dernière.
En juillet 2023, l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a impliqué Turla dans des attaques déployant le logiciel malveillant Capibar et la porte dérobée Kazuar pour des attaques d’espionnage contre les actifs défensifs ukrainiens.
« Le groupe Turla est un adversaire persistant avec un long historique d’activités. Leurs origines, leurs tactiques et leurs cibles indiquent toutes une opération bien financée avec des agents hautement qualifiés », a révélé Trend Micro dans un récent rapport. « Turla a continuellement développé ses outils et techniques au fil des années et continuera probablement à les perfectionner. »
Dans un rapport publié le mois dernier, les agences ukrainiennes de cybersécurité ont également révélé que des acteurs malveillants soutenus par le Kremlin ciblaient les forces de l’ordre nationales pour collecter des informations sur les enquêtes ukrainiennes sur les crimes de guerre commis par des soldats russes.
« En 2023, les groupes les plus actifs étaient UAC-0010 (Gamaredon/FSB), UAC-0056 (GRU), UAC-0028 (APT28/GRU), UAC-0082 (Sandworm/GRU), UAC-0144/UAC-0024. / UAC-0003 (Turla), UAC-0029 (APT29/SVR), UAC-0109 (Zarya), UAC-0100, UAC-0106 (XakNet), [and] UAC-0107 (CyberArmyofRussia) », a déclaré le Service national des communications spéciales et de la protection de l’information de l’Ukraine (SSSCIP).
Le CERT-UA a enregistré 27 cyber-incidents « critiques » au premier semestre 2023, contre 144 au second semestre 2022 et 319 au premier semestre 2022. Au total, les cyber-attaques destructrices affectant les opérations sont passées de 518 à 267.
