25 février 2025Ravie LakshmananMalware / cyber-espionnage

Les militants de l’opposition au Biélorussie ainsi que les organisations militaires et gouvernementales ukrainiennes sont la cible d’une nouvelle campagne qui utilise des documents Microsoft Excel à base de logiciels malveillants comme leurres pour livrer une nouvelle variante de Picassoloader.

Le cluster de menaces a été évalué comme une extension d’une campagne de longue durée montée par un acteur de menace aligné sur le Bélarus surnommé Ghostwriter (aka MOonscape, TA445, UAC-0057 et UNC1151) depuis 2016. Il est connu pour s’aligner sur les intérêts de sécurité russe et promouvoir les récits critiques de l’OTAN.

Cybersécurité

“La campagne est en préparation depuis juillet-août 2024 et est entrée dans la phase active de novembre-décembre 2024”, a déclaré le chercheur Sentinélone Tom Hegel dit Dans un rapport technique partagé avec le Hacker News. “Des échantillons de logiciels malveillants récents et une activité d’infrastructure de commandement et de contrôle (C2) indiquent que l’opération reste active ces derniers jours.”

Le point de départ de la chaîne d’attaque analysée par la société de cybersécurité est un document partagé Google Drive issu d’un compte nommé Vladimir Nikiforech et a hébergé une archive RAR.

Le dossier de rat comprend un classeur Excel malveillant qui, lorsqu’il est ouvert, déclenche l’exécution d’une macro obscurcie lorsque les victimes potentielles permettent d’exécuter des macros. La macro continue d’écrire un fichier DLL qui ouvre finalement la voie à une version simplifiée de Picassoloader.

Dans la phase suivante, un fichier Excel leurre est affiché à la victime, tandis que, en arrière-plan, des charges utiles supplémentaires sont téléchargées sur le système. Pas plus tard en juin 2024, cette approche a été utilisée pour livrer le cadre post-exploitation de la frappe de Cobalt.

Sentinelone a déclaré avoir également découvert d’autres documents Excel armées portant des leurres sur le thème de l’Ukraine pour récupérer un malware inconnu de deuxième étape d’une URL distante (“Sciencelert[.]boutique “) sous la forme d’une image JPG apparemment inoffensive, une technique connue sous le nom de stéganographie. Les URL ne sont plus disponibles.

Cybersécurité

Dans un autre cas, le document Excel piégé Booby est utilisé pour livrer une DLL nommée LiBCMD, qui est conçue pour exécuter CMD.exe et se connecter à STDIN / STDOUT. Il est directement chargé en mémoire en tant qu’assemblage .NET et exécuté.

“Tout au long de 2024, Ghostwriter a utilisé à plusieurs reprises une combinaison de classeurs Excel contenant des macros VBA obfusés MacRopack et de téléchargeurs .NET embarqués avec obfusciation avec Confusionrex», A déclaré Hegel.

“Bien que le Bélarus ne participe pas activement à des campagnes militaires à la guerre en Ukraine, les acteurs cyber-menaces associés ne semblent avoir aucune réserve sur la réalisation des opérations de cyber-espionnage contre les cibles ukrainiennes.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57