L’acteur russe menaçant l’État-nation connu sous le nom de APT28 a été observé en train d’utiliser des leurres liés à la guerre en cours entre Israël et le Hamas pour faciliter la livraison d’une porte dérobée personnalisée appelée HeadLace.
IBM X-Force suit l’adversaire sous le nom d’ITG05, également connu sous les noms de BlueDelta, Fancy Bear, Forest Blizzard (anciennement Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy et TA422.
« La campagne récemment découverte est dirigée contre des cibles basées dans au moins 13 pays à travers le monde et exploite des documents authentiques créés par des centres universitaires, financiers et diplomatiques », ont déclaré les chercheurs en sécurité Golo Mühr, Claire Zaboeva et Joe Fasulo. dit.
« L’infrastructure d’ITG05 garantit que seules les cibles d’un seul pays spécifique peuvent recevoir le malware, ce qui indique la nature hautement ciblée de la campagne. »
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
Les cibles de la campagne comprennent la Hongrie, la Turquie, l’Australie, la Pologne, la Belgique, l’Ukraine, l’Allemagne, l’Azerbaïdjan, l’Arabie saoudite, le Kazakhstan, l’Italie, la Lettonie et la Roumanie.
La campagne implique l’utilisation de leurres conçus principalement pour cibler les entités européennes ayant une « influence directe sur l’allocation de l’aide humanitaire », en s’appuyant sur des documents associés aux Nations Unies, à la Banque d’Israël, au Service de recherche du Congrès américain, à l’Union européenne. Parlement, un groupe de réflexion ukrainien et une commission intergouvernementale Azerbaïdjan-Biélorussie.
Certaines attaques utilisent des archives RAR exploitant la faille WinRAR appelée CVE-2023-38831 pour propager HeadLace, une porte dérobée qui a été révélée pour la première fois par l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) lors d’attaques visant des infrastructures critiques. dans le pays.
Il convient de noter que Zscaler a révélé une campagne similaire nommée Steal-It fin septembre 2023, qui incitait les cibles ayant du contenu à thème adulte à les inciter à se séparer d’informations sensibles.
La divulgation intervient une semaine après que Microsoft, Palo Alto Networks Unit 42 et Proofpoint ont détaillé l’exploitation par l’acteur malveillant d’une faille de sécurité critique de Microsoft Outlook (CVE-2023-23397, score CVSS : 9,8) pour obtenir un accès non autorisé aux comptes des victimes dans Serveurs d’échange.
Le recours aux documents officiels comme leurres marque donc un écart par rapport aux activités observées précédemment, « révélateur de l’accent accru mis par l’ITG05 sur un public cible unique dont les intérêts inciteraient à interagir avec des documents ayant un impact sur la création de politiques émergentes ».
« Il est très probable que la compromission de n’importe quel échelon des centres mondiaux de politique étrangère puisse aider les intérêts des responsables grâce à une compréhension avancée des dynamiques critiques entourant l’approche de la Communauté internationale (CI) face aux priorités concurrentes en matière de sécurité et d’aide humanitaire », ont déclaré les chercheurs.
Le développement intervient sous le nom de CERT-UA lié l’acteur malveillant connu sous le nom d’UAC-0050 dans une attaque de phishing massive par courrier électronique contre l’Ukraine et la Pologne à l’aide de Remcos RAT et Meduza Stealer.