Un acteur de la menace biélorusse connu sous le nom de Ghostwriter (alias UNC1151) a été repéré en train d’utiliser la technique du navigateur dans le navigateur (BitB) récemment divulguée dans le cadre de ses campagnes de phishing d’informations d’identification exploitant le conflit russo-ukrainien en cours.
La méthode, qui se fait passer pour un domaine légitime en simulant une fenêtre de navigateur dans le navigateur, permet de monter des campagnes d’ingénierie sociale convaincantes.
« Les acteurs de Ghostwriter ont rapidement adopté cette nouvelle technique, en la combinant avec une technique précédemment observée, en hébergeant des pages de destination de phishing d’informations d’identification sur des sites compromis », a déclaré le groupe d’analyse des menaces (TAG) de Google. mentionné dans un nouveau rapport, en l’utilisant pour siphonner les informations d’identification saisies par des victimes insoupçonnées vers un serveur distant.
Parmi les autres groupes utilisant la guerre comme leurre dans des campagnes de phishing et de logiciels malveillants pour tromper les cibles en ouvrant des e-mails ou des liens frauduleux, citons Mustang Panda et Scarab ainsi que des acteurs étatiques d’Iran, de Corée du Nord et de Russie.
Curious Gorge, une équipe de piratage que TAG a attribuée à la Force de soutien stratégique de l’Armée populaire de libération de Chine (PLASSF), qui a orchestré des attaques contre des organisations gouvernementales et militaires en Ukraine, en Russie, au Kazakhstan et en Mongolie, figure également sur la liste.
Une troisième série d’attaques observées au cours des deux dernières semaines provenait du groupe de piratage basé en Russie connu sous le nom de COLDRIVER (alias Calisto). TAG a déclaré que l’acteur avait organisé des campagnes de phishing d’informations d’identification ciblant plusieurs ONG et groupes de réflexion basés aux États-Unis, l’armée d’un pays des Balkans et un entrepreneur de la défense ukrainien anonyme.
« Cependant, pour la première fois, TAG a observé des campagnes COLDRIVER ciblant les militaires de plusieurs pays d’Europe de l’Est, ainsi qu’un centre d’excellence de l’OTAN », a déclaré Billy Leonard, chercheur au TAG. « Ces campagnes ont été envoyées à l’aide de comptes Gmail nouvellement créés à des comptes autres que Google, de sorte que le taux de réussite de ces campagnes est inconnu. »
Viasat décompose l’attaque du 24 février
La divulgation intervient alors que la société de télécommunications américaine Viasat a dévoilé les détails d’une cyberattaque « multiforme et délibérée » contre son réseau KA-SAT le 24 février 2022, coïncidant avec l’invasion militaire de l’Ukraine par la Russie.
L’attaque contre le service haut débit par satellite a déconnecté des dizaines de milliers de modems du réseau, affectant plusieurs clients en Ukraine et dans toute l’Europe et affectant la exploitation de 5 800 éoliennes appartenant à la société allemande Enercon en Europe centrale.
« Nous pensons que le but de l’attaque était d’interrompre le service », a déclaré la société. expliqué. « Il n’y a aucune preuve que les données de l’utilisateur final ont été consultées ou compromises, ni que l’équipement personnel du client (PC, appareils mobiles, etc.) n’a pas été consulté de manière inappropriée, ni aucune preuve que le satellite KA-SAT lui-même ou son satellite de support au sol l’infrastructure elle-même ont été directement impliquées, altérées ou compromises. »
Viasat a lié l’attaque à une « intrusion de réseau au sol » qui a exploité une mauvaise configuration dans un appareil VPN pour obtenir un accès à distance au réseau KA-SAT et exécuter des commandes destructrices sur les modems qui « ont écrasé les données clés dans la mémoire flash », les rendant temporairement incapable d’accéder au réseau.
Les dissidents russes visés par Cobalt Strike
Les attaques incessantes sont les dernières d’une longue liste de cyberactivités malveillantes qui ont émergé à la suite du conflit persistant en Europe de l’Est, les réseaux gouvernementaux et commerciaux souffrant d’une série d’infections perturbatrices d’effacement de données ainsi que d’une série d’attaques distribuées en cours. attaques par déni de service (DDoS).
Cela a également pris la forme de compromettre des sites WordPress légitimes pour injecter du code JavaScript malveillant dans le but de mener des attaques DDoS contre des domaines ukrainiens, selon des chercheurs de l’équipe MalwareHunter.
Mais il n’y a pas que l’Ukraine. Malwarebytes Labs a présenté cette semaine les détails d’une nouvelle campagne de harponnage ciblant les citoyens russes et les entités gouvernementales dans le but de déployer des charges utiles pernicieuses sur des systèmes compromis.
« Les e-mails de spear phishing avertissent les personnes qui utilisent des sites Web, des réseaux sociaux, des messageries instantanées et des services VPN qui ont été interdits par le gouvernement russe et que des accusations criminelles seront portées », Hossein Jazi mentionné. « Les victimes sont incitées à ouvrir une pièce jointe ou un lien malveillant pour en savoir plus, pour ensuite être infectées par Cobalt Strike. »
Les documents RTF contenant des logiciels malveillants contiennent un exploit pour la vulnérabilité d’exécution de code à distance MSHTML largement abusée (CVE-2021-40444), conduisant à l’exécution d’un code JavaScript qui génère une commande PowerShell pour télécharger et exécuter une balise Cobalt Strike récupérée à partir d’un serveur distant.
Un autre groupe d’activités concerne potentiellement un acteur de la menace russe suivi sous le nom de Carbon Spider (alias FIN7), qui a utilisé un leurre maldoc similaire conçu pour supprimer une porte dérobée basée sur PowerShell capable de récupérer et d’exécuter un exécutable de la prochaine étape.
Malwarebytes a également déclaré avoir détecté une « augmentation significative du nombre de familles de logiciels malveillants utilisés dans l’intention de voler des informations ou d’accéder d’une autre manière en Ukraine », notamment Hacktool.LOIC, Ver AinslotFFDroider, Formulaire, Remcoset RAT QUASAR.
« Bien que ces familles soient toutes relativement courantes dans le monde de la cybersécurité, le fait que nous ayons assisté à des pics presque exactement lorsque les troupes russes ont franchi la frontière ukrainienne rend ces développements intéressants et inhabituels », a déclaré Adam Kujawa, directeur de Malwarebytes Labs, dans un communiqué partagé avec Les nouvelles des pirates.