Une campagne en cours ciblant les ministères des affaires étrangères des pays alignés sur l’OTAN souligne l’implication d’acteurs menaçants russes.
Les attaques de phishing utilisent des documents PDF avec des leurres diplomatiques, dont certains sont déguisés en provenance d’Allemagne, pour livrer une variante d’un malware appelé Ducqui a été attribué à APT29 (alias BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard et The Dukes).
« L’acteur de la menace a utilisé Zulip – une application de chat open source – pour commander et contrôler, pour échapper et cacher ses activités derrière le trafic Web légitime », a déclaré la société néerlandaise de cybersécurité EclecticIQ. dit dans une analyse la semaine dernière.
La séquence d’infection est la suivante : La pièce jointe PDF, intitulée « Adieu à l’ambassadeur d’Allemagne », est livrée avec un code JavaScript intégré qui lance un processus en plusieurs étapes pour supprimer le logiciel malveillant.
L’utilisation de thèmes d’invitation par APT29 a déjà été signalée par Lab52, qui documenté une attaque qui se fait passer pour l’ambassade de Norvège pour fournir une charge utile DLL capable de contacter un serveur distant pour récupérer des charges utiles supplémentaires.
L’utilisation du domaine « bahamas.gov[.]bs » dans les deux ensembles d’intrusion renforce davantage ce lien.
Si une cible potentielle succombait au piège de phishing en ouvrant le fichier PDF, un dropper HTML malveillant appelé Invitation_Farewell_DE_EMB est lancé pour exécuter JavaScript qui dépose un fichier d’archive ZIP, qui, à son tour, s’intègre dans un fichier d’application HTML (HTA) conçu pour déployer le malware Duke.
La commande et le contrôle sont facilités en utilisant l’API de Zulip pour envoyer les détails de la victime à une salle de chat contrôlée par l’acteur (toyy.zulipchat[.]com) ainsi que pour réquisitionner à distance les hôtes compromis.
EclecticIQ a déclaré avoir identifié un deuxième fichier PDF, probablement utilisé par APT29 à des fins de reconnaissance ou de test.
« Il ne contenait pas de charge utile, mais informait l’acteur si une victime ouvrait la pièce jointe en recevant une notification via un domaine compromis edenparkweddings[.]com », ont déclaré les chercheurs.
Il convient de noter que l’abus de Zulip est normal avec le groupe parrainé par l’étatqui a un palmarès de tirer parti un large éventail de services Internet légitimes tels que Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase et Trello pour C2.
Les principales cibles d’APT29 sont les gouvernements et les sous-traitants gouvernementaux, les organisations politiques, les sociétés de recherche et les industries critiques aux États-Unis et en Europe. Mais dans une tournure intéressante, un adversaire inconnu a été observé employant sa tactique pour violer les utilisateurs de langue chinoise avec Cobalt Strike.
Le développement intervient alors que l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) averti d’une nouvelle série d’attaques de phishing contre des organisations étatiques de l’Ukraine à l’aide d’un Go-based boîte à outils de post-exploitation open source appelé Merlin. L’activité est suivie sous le nom UAC-0154.
Le pays déchiré par la guerre a également fait face à des cyberattaques soutenues de la part de Sandworm, une unité de piratage d’élite affiliée au renseignement militaire russe, principalement destinée à perturber les opérations critiques et à recueillir des renseignements pour obtenir un avantage stratégique.
Selon un récent rapport du Service de sécurité ukrainien (SBU), l’auteur de la menace aurait tenté en vain d’obtenir un accès non autorisé à Tablettes Android possédé par le personnel militaire ukrainien pour la planification et l’exécution de missions de combat.
« La capture d’appareils sur le champ de bataille, leur examen détaillé et l’utilisation des accès disponibles et des logiciels sont devenus le principal vecteur d’accès initial et de distribution de logiciels malveillants », a déclaré l’agence de sécurité. dit.
Certaines des souches de logiciels malveillants incluent NETD pour assurer la persistance, DROPBEAR pour établir un accès à distance, STL pour recueillir des données du système satellite Starlink, DEBLIND pour exfiltrer des données, le Mirai logiciels malveillants de botnet. Un service caché TOR est également utilisé dans les attaques pour accéder à l’appareil sur le réseau local via Internet.