04 avril 2025Ravie LakshmananInfrastructure critique / logiciels malveillants

L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a révélé que pas moins de trois cyberattaques avaient été enregistrées contre les organismes d’administration de l’État et les installations d’infrastructures critiques dans le pays dans le but de voler des données sensibles.

La campagne, l’agence ditimpliquait l’utilisation de comptes de messagerie compromis pour envoyer des messages de phishing contenant des liens pointant vers des services légitimes comme DropMeFiles et Google Drive. Dans certains cas, les liens sont intégrés dans les pièces jointes PDF.

Les missives numériques ont cherché à induire un faux sentiment d’urgence en affirmant qu’une agence gouvernementale ukrainienne prévoyait de réduire les salaires, exhortant le bénéficiaire à cliquer sur le lien pour afficher la liste des employés touchés.

Cybersécurité

Visiter ces liens conduit au téléchargement d’un chargeur Visual Basic Script (VBS) conçu pour récupérer et exécuter un script PowerShell capable de récolter des fichiers correspondant à un ensemble spécifique d’extensions et à capturer des captures d’écran.

L’activité, attribuée à un cluster de menaces suivie en tant que UAC-0219, serait en cours depuis au moins l’automne 2024, avec les premières itérations utilisant une combinaison de binaires EXE, un voleur VBS et un logiciel d’éditeur d’image légitime appelé Irfanview pour réaliser ses objectifs.

CERT-UA a donné au VBS Loader et au malware PowerShell le surnom épave. Les attaques n’ont été attribuées à aucun pays.

Les cyberattaques suivent la découverte d’une campagne de phishing qui s’est concentrée sur les entités de défense et aérospatiale avec des liens vers le conflit en cours en Ukraine pour récolter les informations d’identification de la carte Web via de fausses pages de connexion.

“Les attaquants semblent avoir construit la page en utilisant Mailuun logiciel de serveur de messagerie open source disponible sur GitHub, “L’équipe des enquêtes Domaintools (DTI) dit.

“L’accent mis sur l’usurpation des organisations impliquées dans les infrastructures de défense et de télécommunications d’Ukraine suggère en outre l’intention de recueillir des renseignements liés au conflit en Ukraine. Notamment, de nombreuses défense opceptée, aérospatiale et informatiques ont apporté un soutien aux efforts militaires d’Ukraine dans son conflit avec la Russie.”

Cyberattaques ciblant ukrainien

Des ensembles d’intrusion alignés par la Russie tels que UAC-0050 et UAC-0006 ont également été observé Effectuer financièrement et des campagnes de spam motivées financières depuis le début de 2025, ciblant principalement divers secteurs verticaux tels que les gouvernements, la défense, l’énergie et les ONG, pour distribuer des familles de logiciels malveillants comme Sload, Remcos Rat, NetSupport Rat et SmokeLoader.

Le développement intervient alors que Kaspersky a averti que l’acteur de menace connue sous le nom de chef de Mare a ciblé plusieurs entités russes avec un logiciel malveillant appelé Phantompyramide Il est capable de traiter les instructions émises par l’opérateur sur un serveur de commande et de contrôle (C2), ainsi que le téléchargement et l’exécution de charges utiles supplémentaires comme Meshagent.

Les sociétés d’énergie russe, les entreprises industrielles et les fournisseurs et les développeurs d’organisations de composants électroniques ont également été à la fin des attaques de phishing, au nom d’un acteur de menace, Licorne Cela a abandonné un VBS Trojan conçu pour siphonner les fichiers et les images des hôtes infectés.

Cybersécurité

À la fin du mois dernier, SeqRite Labs a révélé que les réseaux académiques, gouvernementaux, aérospatiaux et liés à la défense en Russie sont ciblés par des documents de leurre armées, probablement envoyés par e-mails de phishing, dans le cadre d’une campagne surnommée l’opération Hollowquill. Les attaques auraient commencé vers décembre 2024.

PDFS à base de logiciels malveillants

L’activité utilise des plats d’ingénierie sociale, déguisant les PDF liés aux logiciels malveillants en tant qu’invitations de recherche et communiquants gouvernementaux pour inciter les utilisateurs sans méfiance à déclencher la chaîne d’attaque.

“L’entité de menace fournit un fichier RAR malveillant qui contient un compte-gouttes malveillants .NET, qui laisse en détail un chargeur Shellcode basé sur Golang ainsi que la légitime application OneDrive et un PDF basé sur leur leurre avec une charge utile finale de grève de Cobalt”, le chercheur en sécurité Subhajeet Singha dit.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57