Des pirates informatiques russes utilisent l'application de chat Zulip pour C&C secret dans des attaques de phishing diplomatiques

Une campagne en cours ciblant les ministères des affaires étrangères des pays alignés sur l’OTAN souligne l’implication d’acteurs menaçants russes.

Les attaques de phishing utilisent des documents PDF avec des leurres diplomatiques, dont certains sont déguisés en provenance d’Allemagne, pour livrer une variante d’un malware appelé Duke, qui a été attribué à APT29 (alias BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard et The Dukes).

« L’acteur de la menace a utilisé Zulip – une application de chat open source – pour commander et contrôler, pour échapper et cacher ses activités derrière le trafic Web légitime », a déclaré la société néerlandaise de cybersécurité EclecticIQ dans une analyse la semaine dernière.

La séquence d’infection est la suivante : La pièce jointe PDF, intitulée « Adieu à l’ambassadeur d’Allemagne », est livrée avec un code JavaScript intégré qui lance un processus en plusieurs étapes pour supprimer le logiciel malveillant.

L’utilisation de thèmes d’invitation par APT29 a déjà été signalée par Lab52, qui a documenté une attaque qui se fait passer pour l’ambassade de Norvège pour fournir une charge utile DLL capable de contacter un serveur distant pour récupérer des charges utiles supplémentaires.

L’utilisation du domaine « bahamas.gov[.]bs » dans les deux ensembles d’intrusion renforce davantage ce lien.

Si une cible potentielle succombait au piège de phishing en ouvrant le fichier PDF, un dropper HTML malveillant appelé Invitation_Farewell_DE_EMB est lancé pour exécuter JavaScript qui dépose un fichier d’archive ZIP, qui, à son tour, s’intègre dans un fichier d’application HTML (HTA) conçu pour déployer le malware Duke.

La commande et le contrôle sont facilités en utilisant l’API de Zulip pour envoyer les détails de la victime à une salle de chat contrôlée par l’acteur (toyy.zulipchat[.]com) ainsi que pour réquisitionner à distance les hôtes compromis.

EclecticIQ a déclaré avoir identifié un deuxième fichier PDF, probablement utilisé par APT29 à des fins de reconnaissance ou de test.

« Il ne contenait pas de charge utile, mais informait l’acteur si une victime ouvrait la pièce jointe en recevant une notification via un domaine compromis edenparkweddings[.]com », ont déclaré les chercheurs.

Il convient de noter que l’abus de Zulip est à égalité avec le groupe parrainé par l’État, qui a fait ses preuves dans l’exploitation d’un large éventail de services Internet légitimes tels que Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase et Trello. pour C2.

Les principales cibles d’APT29 sont les gouvernements et les sous-traitants gouvernementaux, les organisations politiques, les sociétés de recherche et les industries critiques aux États-Unis et en Europe. Mais dans une tournure intéressante, un adversaire inconnu a été observé en train d’employer sa tactique pour violer les utilisateurs de langue chinoise avec Cobalt Strike.

Le développement intervient alors que l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a mis en garde contre une nouvelle série d’attaques de phishing contre des organisations étatiques ukrainiennes utilisant une boîte à outils de post-exploitation open source basée sur Go appelée Merlin. L’activité est suivie sous le nom UAC-0154.

Le pays déchiré par la guerre a également fait face à des cyberattaques soutenues de la part de Sandworm, une unité de piratage d’élite affiliée au renseignement militaire russe, principalement destinée à perturber les opérations critiques et à recueillir des renseignements pour obtenir un avantage stratégique.

Selon un récent rapport du Service de sécurité ukrainien (SBU), l’auteur de la menace aurait tenté en vain d’accéder sans autorisation aux tablettes Android détenues par le personnel militaire ukrainien pour planifier et effectuer des missions de combat.

« La capture d’appareils sur le champ de bataille, leur examen détaillé et l’utilisation des accès disponibles et des logiciels sont devenus le principal vecteur d’accès initial et de distribution de logiciels malveillants », a déclaré l’agence de sécurité.

Certaines des souches de logiciels malveillants incluent NETD pour assurer la persistance, DROPBEAR pour établir un accès à distance, STL pour recueillir des données du système satellite Starlink, DEBLIND pour exfiltrer des données, le logiciel malveillant Mirai botnet. Un service caché TOR est également utilisé dans les attaques pour accéder à l’appareil sur le réseau local via Internet.

Des pirates informatiques russes utilisent l’application de chat Zulip pour C&C secret dans des attaques de phishing diplomatiques

Scénario d’attaque par exfiltration de données : l’expérience Porsche

Une vulnérabilité critique du micrologiciel dans les systèmes Gigabyte expose environ 7 millions d’appareils

Les campagnes de phishing proposent une nouvelle porte dérobée SideTwist et une variante de l’agent Tesla

Camaro Dragon Strikes avec la nouvelle porte dérobée TinyNote pour la collecte de renseignements

Le nouveau ver P2PInfect cible les serveurs Redis avec des méthodes de violation non documentées

Logiciel malveillant PicassoLoader utilisé dans les attaques en cours contre l’Ukraine et la Pologne

A lire également