L’acteur menaçant lié à la Russie connu sous le nom de Gamaredon a été observé en train de mener des activités d’exfiltration de données dans l’heure qui a suivi la compromission initiale.
« En tant que vecteur de compromission primaire, pour la plupart, les e-mails et les messages dans les messagers (Telegram, WhatsApp, Signal) sont utilisés, dans la plupart des cas, en utilisant des comptes précédemment compromis », a déclaré l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA). a dit dans une analyse du groupe publiée la semaine dernière.
Gamaredon, également appelé Aqua Blizzard, Armageddon, Shuckworm ou UAC-0010, est un acteur parrainé par l’État ayant des liens avec le bureau principal du SBU dans la République autonome de Crimée, qui a été annexée par la Russie en 2014. On estime que le groupe a infecté des milliers d’ordinateurs gouvernementaux.
C’est aussi l’une des nombreuses équipes de piratage russe qui ont maintenu un présence active depuis le début de la guerre russo-ukrainienne en février 2022, tirant parti des campagnes de phishing pour fournir des portes dérobées PowerShell telles que GammaSteel pour effectuer des reconnaissances et exécuter des commandes supplémentaires.
Les messages sont généralement accompagnés d’une archive contenant un fichier HTM ou HTA qui, lorsqu’il est ouvert, active la séquence d’attaque.
Selon CERT-UA, GammaSteel est utilisé pour exfiltrer les fichiers correspondant à un ensemble spécifique d’extensions – .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, . ps1, .rar, .zip, .7z et .mdb – dans un délai de 30 à 50 minutes.
Le groupe a également été observé en constante évolution de ses tactiques, utilisant des techniques d’infection USB pour la propagation. Un hôte fonctionnant dans un état compromis pendant une semaine pourrait avoir entre 80 et 120 fichiers malveillants, a noté l’agence.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
L’utilisation par l’auteur de la menace du logiciel AnyDesk pour l’accès à distance interactif, des scripts PowerShell pour le détournement de session afin de contourner l’authentification à deux facteurs (2FA) et de Telegram et Telegraph pour récupérer les informations du serveur de commande et de contrôle (C2) est également importante.
« Les attaquants prennent des mesures distinctes pour assurer la tolérance aux pannes de leur infrastructure réseau et éviter la détection au niveau du réseau », a déclaré le CERT-UA. « Au cours de la journée, les adresses IP des nœuds de contrôle intermédiaires peuvent changer de 3 à 6 fois ou plus, ce qui, entre autres, indique l’automatisation appropriée du processus. »