Des acteurs parrainés par l’État russe continuent de frapper des entités ukrainiennes avec des logiciels malveillants voleurs d’informations dans le cadre de ce qui est soupçonné d’être une opération d’espionnage.
Symantec, une division de Broadcom Software, attribué la campagne malveillante contre un acteur menaçant a suivi Shuckworm, également connu sous le nom d’Actinium, Armageddon, Gamaredon, Primitive Bear et Trident Ursa. Les découvertes ont été corroboré par l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA).
L’acteur menaçant, actif depuis au moins 2013, est connu pour distinguer explicitement les entités publiques et privées en Ukraine. Les attaques se sont depuis intensifiées à la suite de l’invasion militaire russe fin 2022.
La dernière série d’attaques aurait commencé le 15 juillet 2022 et se poursuivrait aussi récemment que le 8 août, les chaînes d’infection tirant parti des e-mails de phishing déguisés en newsletters et ordres de combat, conduisant finalement au déploiement d’un malware voleur PowerShell appelé GammaLoad. .PS1_v2.
Deux portes dérobées nommées Giddome et Pterodo sont également livrées aux machines compromises, qui sont toutes deux des outils de marque Shuckworm qui ont été continuellement redéveloppés par les attaquants dans le but de garder une longueur d’avance sur la détection.
En son coeur, Ptérodo est un programme malveillant de compte-gouttes Visual Basic Script (VBS) capable d’exécuter des scripts PowerShell, d’utiliser des tâches planifiées (shtasks.exe) pour maintenir la persistance et de télécharger du code supplémentaire à partir d’un serveur de commande et de contrôle.
L’implant Giddome, d’autre part, offre plusieurs fonctionnalités, notamment l’enregistrement audio, la capture de captures d’écran, l’enregistrement des frappes au clavier, ainsi que la récupération et l’exécution d’exécutables arbitraires sur les hôtes infectés.
Les intrusions, qui se produisent par le biais d’e-mails distribués à partir de comptes compromis, exploitent davantage des logiciels légitimes comme Ammyy Admin et AnyDesk pour faciliter l’accès à distance.
Les découvertes surviennent alors que l’acteur de Gamaredon a été lié à un série d’attaques d’ingénierie sociale visant à lancer la chaîne de livraison GammaLoad.PS1, permettant à l’auteur de la menace de voler des fichiers et des informations d’identification stockés dans les navigateurs Web.
« Alors que l’invasion russe de l’Ukraine approche de la barre des six mois, l’attention de longue date de Shuckworm sur le pays semble se poursuivre sans relâche », a noté Symantec.
« Bien que Shuckworm ne soit pas nécessairement le groupe d’espionnage le plus sophistiqué sur le plan tactique, il compense cela par sa concentration et sa persistance à cibler sans relâche les organisations ukrainiennes. »
Les conclusions font suite à une alerte du CERT-UA, qui mis en garde d’attaques de phishing « systématiques, massives et géographiquement dispersées » impliquant l’utilisation d’un téléchargeur .NET appelé RelicRace pour exécuter des charges utiles telles que Formbook et Snake Keylogger.