Un nombre croissant d’acteurs malveillants utilisent la guerre russo-ukrainienne en cours comme leurre dans diverses campagnes de phishing et de logiciels malveillants, alors même que les infrastructures critiques continuent d’être fortement ciblées.
« Des acteurs soutenus par le gouvernement de Chine, d’Iran, de Corée du Nord et de Russie, ainsi que divers groupes non attribués, ont utilisé divers thèmes liés à la guerre en Ukraine dans le but d’amener des cibles à ouvrir des e-mails malveillants ou à cliquer sur des liens malveillants », a déclaré Google Threat Analysis Group. (TAG) Billy Léonard mentionné dans un rapport.
« Les acteurs criminels et motivés financièrement utilisent également les événements actuels comme moyen de cibler les utilisateurs », a ajouté Leonard.
Un acteur de menace notable est Curious Gorge, que TAG a attribué à la Force de soutien stratégique de l’Armée populaire de libération de Chine (PLA SSF) et a été observé en train de frapper des organisations gouvernementales, militaires, logistiques et de fabrication en Ukraine, en Russie et en Asie centrale.
Les attaques visant la Russie ont ciblé plusieurs entités gouvernementales, telles que le ministère des Affaires étrangères, avec des compromis supplémentaires affectant les sous-traitants et fabricants de défense russes ainsi qu’une société de logistique anonyme.
Les conclusions font suite à des révélations selon lesquelles un acteur de la menace parrainé par le gouvernement chinois connu sous le nom de Mustang Panda (alias Bronze President) pourrait avoir ciblé des responsables gouvernementaux russes avec une version mise à jour d’un cheval de Troie d’accès à distance appelé PlugX.
Une autre série d’attaques de phishing impliquait des pirates APT28 (alias Fancy Bear) ciblant les utilisateurs ukrainiens avec un malware .NET capable de voler des cookies et des mots de passe des navigateurs Chrome, Edge et Firefox.
Des groupes de menaces basés en Russie, notamment Turla (alias Venomous Bear) et COLDRIVER (alias Calisto), ainsi qu’une équipe de piratage biélorusse nommée Ghostwriter, ont également été impliqués dans différentes campagnes de phishing d’identifiants ciblant des organisations de défense et de cybersécurité dans la région baltique et à haut risque. individus en Ukraine.
Les dernières attaques de Ghostwriter ont dirigé les victimes vers des sites Web compromis, d’où les utilisateurs ont été envoyés vers une page Web contrôlée par l’attaquant pour recueillir leurs informations d’identification.
Dans une campagne de phishing sans rapport ciblant des entités dans les pays d’Europe de l’Est, un groupe de piratage jusque-là inconnu et à motivation financière a été repéré en train de se faire passer pour une agence russe pour déployer une porte dérobée JavaScript appelée DarkWatchman sur des ordinateurs infectés.
IBM Security X-Force a connecté les intrusions à un cluster de menaces qu’il suit sous le nom Hive0117.
« La campagne se fait passer pour des communications officielles du Service fédéral des huissiers de justice du gouvernement russe, les e-mails en russe sont adressés aux utilisateurs en Lituanie, en Estonie et en Russie dans les secteurs des télécommunications, de l’électronique et de l’industrie », a déclaré la société. mentionné.
Les conclusions surviennent alors que Microsoft a divulgué que six acteurs différents alignés sur la Russie ont lancé au moins 237 cyberattaques contre l’Ukraine du 23 février au 8 avril, dont 38 attaques destructrices discrètes qui ont irrévocablement détruit des fichiers dans des centaines de systèmes à travers des dizaines d’organisations dans le pays.
Les tensions géopolitiques et l’invasion militaire de l’Ukraine qui s’en est suivie ont également alimenté une escalade des attaques d’effacement de données destiné à paralyser les processus critiques de la mission et à détruire les preuves médico-légales.
De plus, l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) révélé les détails des attaques par déni de service distribué (DDoS) en cours dirigées contre les portails gouvernementaux et d’actualités en injectant du JavaScript malveillant (surnommé « BrownFlood ») dans les sites compromis.
Des attaques DDoS ont également été signalées au-delà de l’Ukraine. La semaine dernière, la Direction nationale roumaine de la cybersécurité (DNSC) divulgué que plusieurs sites Internet appartenant à des institutions publiques et privées ont été « ciblés par des attaquants qui visaient à rendre ces services en ligne indisponibles ».
Les attaques, revendiquées par un collectif pro-russe appelé Killnet, viennent en réponse à la décision de la Roumanie de soutenir l’Ukraine dans le conflit militaire avec la Russie.