Des entités gouvernementales, des organisations militaires et des utilisateurs civils en Ukraine et en Pologne ont été ciblés dans le cadre d’une série de campagnes conçues pour voler des données sensibles et obtenir un accès à distance persistant aux systèmes infectés.
L’ensemble d’intrusions, qui s’étend d’avril 2022 à juillet 2023, exploite des leurres de phishing et des documents leurres pour déployer un logiciel malveillant de téléchargement appelé PicassoLoader, qui agit comme un conduit pour lancer Cobalt Strike Beacon et njRAT.
« Les attaques ont utilisé une chaîne d’infection en plusieurs étapes initiée avec des documents Microsoft Office malveillants, utilisant le plus souvent les formats de fichiers Microsoft Excel et PowerPoint », a déclaré Vanja Svajcer, chercheuse chez Cisco Talos, dans un nouveau rapport. « Cela a été suivi par un téléchargeur exécutable et une charge utile dissimulés dans un fichier image, susceptibles de rendre sa détection plus difficile. »
Certaines des activités ont été attribuées à un acteur menaçant appelé GhostWriter (alias UAC-0057 ou UNC1151), dont les priorités s’aligneraient sur celles du gouvernement biélorusse.
Il convient de noter qu’un sous-ensemble de ces attaques a déjà été documenté au cours de l’année écoulée par l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) et Fortinet FortiGuard Labs, dont l’un a utilisé des documents PowerPoint chargés de macros pour livrer le malware Agent Tesla en juillet 2022. .
Les chaînes d’infection visent à convaincre les victimes d’activer les macros, avec la macro VBA conçue pour déposer un téléchargeur de DLL connu sous le nom de PicassoLoader qui s’adresse ensuite à un site contrôlé par un attaquant pour récupérer la charge utile de l’étape suivante, un fichier image légitime qui intègre la finale logiciels malveillants.
La divulgation intervient alors que le CERT-UA a détaillé un certain nombre d’opérations de phishing distribuant le malware SmokeLoader ainsi qu’une attaque par smishing conçue pour obtenir un contrôle non autorisé des comptes Telegram des cibles.
Le mois dernier, le CERT-UA a révélé une campagne de cyberespionnage destinée aux organisations étatiques et aux représentants des médias en Ukraine qui utilise des e-mails et des messageries instantanées pour distribuer des fichiers, qui, une fois lancée, entraîne l’exécution d’un script PowerShell appelé LONEPAGE pour récupérer le prochain -charges utiles de voleur de navigateur (THUMBCHOP) et d’enregistreur de frappe (CLOGFLAG).
GhostWriter est l’un des nombreux acteurs menaçants qui ont jeté leur dévolu sur l’Ukraine. Cela inclut également le groupe d’États-nations russe APT28, qui a été observé en train d’utiliser des pièces jointes HTML dans des e-mails de phishing qui incitent les destinataires à modifier leur compte UKR.NET et Yahoo! mots de passe en raison d’une activité suspecte détectée dans leurs comptes afin de les rediriger vers de fausses pages de destination qui volent finalement leurs informations d’identification.
Le développement fait également suite à l’adoption d’un « livre de jeu standard en cinq phases » par des pirates informatiques associés au renseignement militaire russe (GRU) dans leurs opérations perturbatrices contre l’Ukraine dans un « effort délibéré pour augmenter la vitesse, l’échelle et l’intensité » de leurs attaques. .
Cela consiste à tirer parti de l’infrastructure de vie à la pointe pour obtenir un accès initial, en utilisant des techniques de vie hors du terrain pour effectuer des reconnaissances, des mouvements latéraux et le vol d’informations afin de limiter leur empreinte de logiciels malveillants et d’échapper à la détection, créant un accès persistant et privilégié. via des objets de stratégie de groupe (GPO), en déployant des essuie-glaces et en télégraphiant leurs actes via des personnages hacktivistes sur Telegram.
« Les avantages offerts par le playbook sont particulièrement adaptés à un environnement opérationnel en évolution rapide et très contesté, ce qui indique que les objectifs de guerre de la Russie ont probablement guidé les plans d’action tactiques choisis par le GRU », a déclaré Mandiant, propriété de Google.
