L’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a déclaré mardi avoir déjoué une cyberattaque contre une infrastructure énergétique critique anonyme dans le pays.
L’intrusion, selon l’agence, a commencé par un e-mail de phishing contenant un lien vers une archive ZIP malveillante qui active la chaîne d’infection.
« La visite du lien téléchargera une archive ZIP contenant trois images JPG (leurres) et un fichier BAT ‘weblinks.cmd’ sur l’ordinateur de la victime », CERT-UA ditl’attribuant à l’acteur menaçant russe connu sous le nom d’APT28 (alias BlueDelta, Fancy Bear, Forest Blizzard ou FROZENLAKE).
« Lorsqu’un fichier CMD est exécuté, plusieurs pages Web leurres seront ouvertes, des fichiers .bat et .vbs seront créés et un fichier VBS sera lancé, qui à son tour exécutera le fichier BAT. »
La phase suivante de l’attaque consiste à exécuter la commande « whoami » sur l’hôte compromis et à exfiltrer les informations, ainsi qu’à télécharger le service caché TOR pour acheminer le trafic malveillant.
La persistance est obtenue au moyen d’une tâche planifiée et l’exécution de commandes à distance est mise en œuvre à l’aide de cURL via un service légitime appelé webhook.site, qui a récemment été révélé comme étant utilisé par un acteur malveillant connu sous le nom de Dark Pink.
CERT-UA a déclaré que l’attaque avait finalement échoué en raison du fait que l’accès à Mocky et à Windows Script Host (wscript.exe) a été restreint. Il convient de noter qu’APT28 a été lié à l’utilisation d’API Mocky dans le passé.
Détecter, Répondre, Protéger : ITDR et SSPM pour une sécurité SaaS complète
Découvrez comment Identity Threat Detection & Response (ITDR) identifie et atténue les menaces à l’aide de SSPM. Découvrez comment sécuriser vos applications SaaS d’entreprise et protéger vos données, même après une violation.
La divulgation intervient au milieu attaques de phishing continues ciblant l’Ukraine, dont certains ont été observé en tirant parti d’un moteur d’obfuscation de logiciels malveillants prêt à l’emploi nommé ScruptCrypt pour distribuer AsyncRAT.
Une autre cyber-attaque montée par GhostWriter (alias UAC-0057 ou UNC1151) aurait utilisé une faille zero-day récemment révélée dans WinRAR (CVE-2023-38831, score CVSS : 7,8) pour déployer PicassoLoader et Cobalt Strike, l’agence dit.