Le gouvernement russe et les organisations informatiques sont la cible d’une nouvelle campagne qui fournit un certain nombre de portes dérobées et de chevaux de Troie dans le cadre d’une campagne de spear-phishing portant le nom de code Vent d’Est.
Les chaînes d’attaque se caractérisent par l’utilisation de pièces jointes d’archives RAR contenant un fichier de raccourci Windows (LNK) qui, une fois ouvert, active la séquence d’infection, aboutissant au déploiement de logiciels malveillants tels que GrewApacha, une version mise à jour de la porte dérobée CloudSorcerer et un implant jusqu’alors non documenté baptisé PlugY.
PlugY est « téléchargé via la porte dérobée CloudSorcerer, dispose d’un vaste ensemble de commandes et prend en charge trois protocoles différents pour communiquer avec le serveur de commande et de contrôle », a déclaré la société de cybersécurité russe Kaspersky dit.
Le vecteur d’infection initial repose sur un fichier LNK piégé, qui utilise Techniques de chargement latéral de DLL pour lancer un fichier DLL malveillant qui utilise Dropbox comme mécanisme de communication pour exécuter des commandes de reconnaissance et télécharger des charges utiles supplémentaires.
Parmi les logiciels malveillants déployés à l’aide de la DLL figure GrewApacha, une porte dérobée connue précédemment lié au groupe APT31 lié à la Chine. Également lancé à l’aide du chargement latéral de DLL, il utilise un profil GitHub contrôlé par un attaquant comme résolveur de chutes mortes pour stocker une chaîne codée en Base64 du serveur C2 réel.
CloudSorcerer, en revanche, est un outil de cyberespionnage sophistiqué utilisé pour la surveillance furtive, la collecte de données et l’exfiltration via l’infrastructure cloud Microsoft Graph, Yandex Cloud et Dropbox. Comme dans le cas de GrewApacha, la variante mise à jour exploite des plateformes légitimes comme LiveJournal et Quora comme serveur C2 initial.
« Comme avec les versions précédentes de CloudSorcerer, les biographies de profil contiennent un jeton d’authentification crypté pour interagir avec le service cloud », a déclaré Kaspersky.
De plus, il utilise un mécanisme de protection basé sur le cryptage qui garantit que le logiciel malveillant est déclenché uniquement sur l’ordinateur de la victime à l’aide d’une clé unique dérivée de Windows. Fonction GetTickCount() au moment de l’exécution.
La troisième famille de logiciels malveillants observée dans les attaques de PlugY, une porte dérobée complète qui se connecte à un serveur de gestion à l’aide de TCP, UDP ou de canaux nommés, et est dotée de capacités permettant d’exécuter des commandes shell, de surveiller l’écran de l’appareil, d’enregistrer les frappes au clavier et de capturer le contenu du presse-papiers.
Kaspersky a déclaré qu’une analyse du code source de PlugX a révélé des similitudes avec une porte dérobée connue appelée DRBControl (alias Grimper), qui a été attribué aux groupes de menaces liées à la Chine, identifiés comme APT27 et APT41.
« Les attaquants derrière la campagne EastWind ont utilisé des services réseau populaires comme serveurs de commande – GitHub, Dropbox, Quora, ainsi que LiveJournal et Yandex Disk en russe », a déclaré la société.
Kaspersky a également détaillé une attaque de type « watering hole » qui consiste à compromettre un site légitime lié à l’approvisionnement en gaz en Russie pour distribuer un ver nommé CMoon qui peut récolter des données confidentielles et de paiement, prendre des captures d’écran, télécharger des logiciels malveillants supplémentaires et lancer des attaques par déni de service distribué (DDoS) contre des cibles d’intérêt.
Le logiciel malveillant collecte également des fichiers et des données à partir de divers navigateurs Web, portefeuilles de crypto-monnaie, applications de messagerie instantanée, clients SSH, logiciels FTP, applications d’enregistrement et de streaming vidéo, authentificateurs, outils de bureau à distance et VPN.
« CMoon est un ver écrit en .NET, avec de larges fonctionnalités pour le vol de données et le contrôle à distance », a-t-il déclaré. dit. « Immédiatement après l’installation, le fichier exécutable commence à surveiller les clés USB connectées. Cela vous permet de voler des fichiers susceptibles d’intéresser les attaquants à partir de supports amovibles, ainsi que d’y copier un ver et d’infecter d’autres ordinateurs sur lesquels la clé sera utilisée. »