31 mars 2025Ravie LakshmananIntelligence de menace / logiciels malveillants

Les entités en Ukraine ont été ciblées dans le cadre d’une campagne de phishing conçue pour distribuer un cheval de Troie à distance appelé Remcos Rat.

“Les noms de dossiers utilisent des mots russes liés au mouvement des troupes en Ukraine comme leurre”, a déclaré le chercheur de Cisco Talos Guilherme Venere dit Dans un rapport publié la semaine dernière. “Le téléchargeur PowerShell contacte des serveurs géo-clôturés situés en Russie et en Allemagne pour télécharger le fichier zip de deuxième étape contenant la porte dérobée Remcos.”

L’activité a été attribuée à une confiance modérée à un groupe de piratage russe connu sous le nom de Gamaredon, qui est également suivi sous les surnoms Aqua Blizzard, Armageddon, Blue Otso, Bluealpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 et Winterflener.

Cybersécurité

L’acteur de menace, évalué comme affilié au Federal Security Service (FSB) de la Russie, est connu pour son ciblage d’organisations ukrainiennes pour l’espionnage et le vol de données. C’est opérationnel depuis au moins 2013.

La dernière campagne est caractérisée par la distribution des fichiers de raccourci Windows (LNK) compressés à l’intérieur des archives ZIP, les déguisant en documents Microsoft Office liés à la guerre Russo-Ukrainienne en cours pour inciter les destinataires à leur ouvrir. On pense que ces archives sont envoyées par e-mails de phishing.

Les liens vers Gamaredon proviennent de l’utilisation de deux machines utilisées pour créer les fichiers de raccourci malveillants et qui étaient précédemment utilisé par l’acteur de menace à des fins similaires.

Les fichiers LNK sont équipés d’un code PowerShell responsable du téléchargement et de l’exécution du Command de commande de commande utile à la prochaine étape, ainsi que de récupérer un fichier de leurre qui est affiché à la victime pour maintenir la ruse.

La deuxième étape est une autre archive zip, qui contient une DLL malveillante à exécuter via une technique appelée chargement DLL. La DLL est un chargeur qui décrypte et exécute la charge utile finale Remcos à partir de fichiers cryptés présents dans l’archive.

La divulgation intervient alors que le push silencieux détaillé une campagne de phishing qui utilise des leurres de site Web pour recueillir des informations contre des individus russes sympathiques à l’Ukraine. L’activité est considérée comme l’œuvre de services de renseignement russe ou d’un acteur de menace aligné avec la Russie.

Cybersécurité

La campagne se compose de quatre principaux grappes de phishing, imitant la US Central Intelligence Agency (CIA), le Russian Volunteer Corps, Legion Liberty et Hochuzhit “I Want To Live” hotline pour avoir reçu des appels de militaires russes en Ukraine à se rendre aux forces armées ukrainiennes.

Les pages de phishing ont été organisées sur un fournisseur d’hébergement à l’épreuve des balles, Nybula LLC, les acteurs de la menace comptant sur les formulaires Google et les réponses par e-mail pour recueillir des informations personnelles, y compris leurs opinions politiques, leurs mauvaises habitudes et leur forme physique, des victimes.

“Toutes les campagnes […] observés ont eu des traits similaires et partagé un objectif commun: la collecte d’informations personnelles auprès des victimes de visiter le site ” dit. “Ces pots de miel de phishing sont probablement le travail des services de renseignement russe ou un acteur de menace aligné sur les intérêts russes.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57