Le secteur de la défense en Ukraine et en Europe de l’Est a été ciblé par une nouvelle porte dérobée basée sur .NET appelée DeliveryCheck (alias CAPIBAR ou GAMEDAY) qui est capable de fournir des charges utiles de la prochaine étape.
L’équipe Microsoft de renseignement sur les menaces, en collaboration avec l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA), a attribué les attaques à un acteur d’État-nation russe connu sous le nom de Turla, qui est également suivi sous les noms d’Iron Hunter, Secret Blizzard (anciennement Krypton), Uroburos, Venomous Bear et Waterbug. Il est lié au Service fédéral de sécurité (FSB) russe.
« DeliveryCheck est distribué par e-mail sous forme de documents contenant des macros malveillantes », a déclaré la société. a dit dans une série de tweets. « Il persiste via une tâche planifiée qui la télécharge et la lance en mémoire. Il contacte également un serveur C2 pour récupérer des tâches, ce qui peut inclure le lancement de charges utiles arbitraires intégrées dans des feuilles de style XSLT. »
Un accès initial réussi s’accompagne également dans certains cas de la distribution d’un implant Turla connu appelé Kazuar, qui est équipé pour voler des fichiers de configuration d’application, des journaux d’événements et un large éventail de données à partir de navigateurs Web.
Le but ultime des attaques est d’exfiltrer les messages de l’application de messagerie Signal pour Windows, permettant à l’adversaire d’accéder à des conversations, des documents et des images sensibles sur des systèmes ciblés.
Un aspect remarquable de DeliveryCheck est sa capacité à violer les serveurs Microsoft Exchange pour installer un composant côté serveur à l’aide de PowerShell Desired State Configuration (DSC), une plate-forme de gestion PowerShell qui aide les administrateurs à automatiser la configuration des systèmes Windows.
« DSC génère un fichier MOF (Managed Object Format) contenant un script PowerShell qui charge la charge utile .NET intégrée dans la mémoire, transformant ainsi un serveur légitime en un centre C2 malveillant », a expliqué Microsoft.
La divulgation intervient alors que la cyberpolice ukrainienne a démantelé une énorme ferme de robots avec plus de 100 personnes qui auraient répandu une propagande hostile justifiant l’invasion russe, divulgué des informations personnelles appartenant à des citoyens ukrainiens et se livrant à divers stratagèmes frauduleux.
Dans le cadre de l’opération, des perquisitions ont été menées dans 21 lieux, aboutissant à la saisie de matériel informatique, de téléphones portables, de plus de 250 passerelles GSM et d’environ 150 000 cartes SIM appartenant à différents opérateurs mobiles.
