L’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a mis en garde contre des cyberattaques visant les forces de défense du pays avec un malware appelé SPECTR dans le cadre d’une campagne d’espionnage baptisée SickSync.
L’agence attribué les attaques contre un acteur menaçant qu’elle suit sous le surnom d’UAC-0020, également appelé Vermin et qui est considéré comme étant associé aux agences de sécurité de la République populaire de Louhansk (LPR). LPR était déclaré un État souverain par la Russie quelques jours avant son invasion militaire de l’Ukraine en février 2022.
Les chaînes d’attaque commencent par des e-mails de spear phishing contenant un fichier d’archive RAR auto-extractible contenant un fichier PDF leurre, une version trojanisée de l’application SyncThing qui intègre la charge utile SPECTR et un script batch qui active l’infection en lançant l’exécutable.
SPECTR sert de voleur d’informations en récupérant des captures d’écran toutes les 10 secondes, en récoltant des fichiers, en collectant des données à partir de clés USB amovibles et en volant des informations d’identification ainsi que des navigateurs Web et des applications comme Element, Signal, Skype et Telegram.
« Dans le même temps, pour télécharger des documents, fichiers, mots de passe et autres informations volés depuis l’ordinateur, la fonctionnalité de synchronisation standard du logiciel légitime SyncThing a été utilisée, qui, entre autres, prend en charge l’établissement d’une connexion peer-to-peer. entre ordinateurs », a déclaré le CERT-UA.
SickSync marque le retour du groupe Vermine après une absence prolongée, ce qui avait été observé précédemment orchestrer des campagnes de phishing visant les organismes publics ukrainiens à déployer le malware SPECTR en mars 2022. SPECTR est connu pour être utilisé par l’acteur depuis 2019.
Vermin est également le nom attribué à un cheval de Troie d’accès à distance .NET utilisé par l’acteur malveillant pour cibler diverses institutions gouvernementales ukrainiennes depuis près de huit ans. C’était d’abord rapporté publiquement par Palo Alto Networks Unit 42 en janvier 2018, avec un suivi ultérieur analyse d’ESET retraçant l’activité de l’attaquant jusqu’en octobre 2015.
Cette divulgation intervient alors que le CERT-UA a mis en garde contre des attaques d’ingénierie sociale exploitant l’application de messagerie instantanée Signal comme vecteur de distribution pour fournir un cheval de Troie d’accès à distance appelé DarkCrystal RAT (alias DCRat). Ils ont été liés à un cluster d’activités nommé UAC-0200.
« Une fois de plus, nous constatons une tendance à l’augmentation de l’intensité des cyberattaques utilisant des messageries et des comptes légitimes compromis », indique l’agence. dit. « En même temps, d’une manière ou d’une autre, la victime est incitée à ouvrir le fichier sur son ordinateur. »
Cela fait également suite à la découverte d’une campagne de logiciels malveillants menée par des pirates informatiques parrainés par l’État biélorusse, connus sous le nom de GhostWriter (alias UAC-0057 et UNC1151), qui utilisent des documents Microsoft Excel piégés dans des attaques visant le ministère ukrainien de la Défense.
« Lors de l’exécution du document Excel, qui contient une macro VBA intégrée, il supprime un fichier de chargement LNK et DLL », Symantec, propriété de Broadcom. dit. « Par la suite, l’exécution du fichier LNK lance le chargeur de DLL, ce qui pourrait conduire à une charge utile finale suspectée comprenant l’agent Tesla, les balises Cobalt Strike et njRAT. »
(L’histoire a été mise à jour après la publication pour inclure la confirmation d’ESET concernant les connexions de l’UAC-0020 au Vermin RAT.)