26 février 2025Ravie LakshmananSécurité du réseau / Intelligence des menaces

L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a mis en garde mardi l’activité renouvelée d’un groupe criminel organisé qu’il suit en tant que UAC-0173 qui implique d’infecter les ordinateurs avec un troyen à distance nommé DCRAT (aka DarkCrystal Rat).

L’Ukrainian Cybersecurity Authority a déclaré avoir observé la dernière vague d’attaque à partir de la mi-janvier 2025. L’activité est conçue pour cibler le notaire de l’Ukraine.

La chaîne d’infection tire parti des e-mails de phishing qui prétendent être envoyés au nom du ministère de la Justice d’Ukraine, exhortant les destinataires à télécharger un exécutable qui, une fois lancé, conduit au déploiement du malware DCRAT. Le binaire est hébergé dans le service de stockage Cloud Cloud de CloudFlare.

Cybersécurité

“Ayant ainsi fourni un accès primaire au lieu de travail automatisé du notary, les attaquants prennent des mesures pour installer des outils supplémentaires, en particulier, RDPWrapper, qui met en œuvre la fonctionnalité des sessions RDP parallèles, qui, en combinaison avec l’utilisation de l’alésage, vous permet d’établir des connexions RDP depuis Internet directement à l’ordinateur” dit.

Les attaques sont également caractérisées par l’utilisation d’autres outils et des familles de logiciels malveillants comme Fiddler pour intercepter les données d’authentification entrées dans l’interface Web des registres d’état, NMAP pour la numérisation réseau et XWorm pour voler des données sensibles, telles que les informations d’identification et le contenu de presse-papiers.

En outre, les systèmes compromis sont utilisés comme un conduit pour rédiger et envoyer des e-mails malveillants à l’aide de l’utilitaire Sendmail Console afin de propager davantage les attaques.

Le développement intervient quelques jours après que CERT-UA ait attribué un sous-cluster au sein du groupe de piratage de sable (aka APT44, Blizzard Seashell et UAC-0002) à l’exploitation d’un défaut de sécurité maintenant paralysé dans Microsoft Windows (CVE-2024-38213, score CVSS: 6,5) dans le second semestre de 2024 via des documents de booby.

Les chaînes d’attaque se sont révélées exécuter des commandes PowerShell responsables de l’affichage d’un fichier de leurre, tout en lançant simultanément des charges utiles supplémentaires en arrière-plan, y compris SecondBest (aka EmpirePast), Spark et un chargeur Golang nommé Crookbag.

Cybersécurité

L’activité, attribué Pour l’UAC-0212, les sociétés de fournisseurs ciblaient la Serbie, la République tchèque et l’Ukraine entre juillet 2024 et février 2025, dont certains enregistrés contre plus de deux douzaines d’entreprises ukrainiennes spécialisées dans le développement de systèmes de contrôle des processus automatisées (ACST), les travaux électriques et le transport de fret.

Certaines de ces attaques ont été documentées par Laboratoires Strikeready et Microsoft, ce dernier, qui suit le groupe de menaces sous le surnom Badpilot.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57