Des entités gouvernementales, des organisations militaires et des utilisateurs civils en Ukraine et en Pologne ont été ciblés dans le cadre d’une série de campagnes conçues pour voler des données sensibles et obtenir un accès à distance persistant aux systèmes infectés.
L’ensemble d’intrusions, qui s’étend d’avril 2022 à juillet 2023, exploite des leurres de phishing et des documents leurres pour déployer un logiciel malveillant de téléchargement appelé PicassoLoader, qui agit comme un conduit pour lancer Cobalt Strike Beacon et njRAT.
« Les attaques ont utilisé une chaîne d’infection en plusieurs étapes initiée avec des documents Microsoft Office malveillants, utilisant le plus souvent les formats de fichiers Microsoft Excel et PowerPoint », a déclaré Vanja Svajcer, chercheuse chez Cisco Talos. a dit dans un nouveau rapport. « Cela a été suivi par un téléchargeur exécutable et une charge utile dissimulés dans un fichier image, susceptibles de rendre sa détection plus difficile. »
Quelques de la activités ont été attribués à un acteur menaçant appelé GhostWriter (alias UAC-0057 ou UNC1151), dont les priorités s’aligneraient sur celles du gouvernement biélorusse.
Il convient de noter qu’un sous-ensemble de ces attaques a déjà été documenté au cours de l’année écoulée par l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) et Fortinet FortiGuard Labs, dont l’un a utilisé des documents PowerPoint chargés de macros pour livrer le malware Agent Tesla en juillet 2022. .
Les chaînes d’infection visent à convaincre les victimes d’activer les macros, avec la macro VBA conçue pour déposer un téléchargeur de DLL connu sous le nom de PicassoLoader qui s’adresse ensuite à un site contrôlé par un attaquant pour récupérer la charge utile de l’étape suivante, un fichier image légitime qui intègre la finale logiciels malveillants.
La divulgation intervient alors que CERT-UA a détaillé un nombre de Hameçonnage opérations distribuant le malware SmokeLoader ainsi qu’un attaque par fracas conçu pour obtenir un contrôle non autorisé des comptes Telegram des cibles.
Le mois dernier, le CERT-UA a divulgué un campagne de cyberespionnage destiné aux organisations étatiques et aux représentants des médias en Ukraine qui utilisent le courrier électronique et les messageries instantanées pour distribuer des fichiers, ce qui, une fois lancé, entraîne l’exécution d’un script PowerShell appelé LONEPAGE pour récupérer le voleur de navigateur (THUMBCHOP) et l’enregistreur de frappe (CLOGFLAG ) charges utiles.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
GhostWriter est l’un des nombreux acteurs menaçants qui ont jeté leur dévolu sur l’Ukraine. Cela inclut également le groupe d’États-nations russe APT28, qui a été observé l’utilisation de pièces jointes HTML dans des e-mails de phishing qui invitent les destinataires à modifier leur UKR.NET et Yahoo! mots de passe en raison d’une activité suspecte détectée dans leurs comptes afin de les rediriger vers de fausses pages de destination qui volent finalement leurs informations d’identification.
Le développement fait également suite à l’adoption d’un « livre de jeu standard en cinq phases » par des pirates informatiques associés au renseignement militaire russe (GRU) dans leurs opérations perturbatrices contre l’Ukraine dans un « effort délibéré pour augmenter la vitesse, l’échelle et l’intensité » de leurs attaques. .
Cela consiste à tirer parti de l’infrastructure de vie à la pointe pour obtenir un accès initial, en utilisant des techniques de vie hors du terrain pour effectuer des reconnaissances, des mouvements latéraux et le vol d’informations afin de limiter leur empreinte de logiciels malveillants et d’échapper à la détection, créant un accès persistant et privilégié. via des objets de stratégie de groupe (GPO), en déployant des essuie-glaces et en télégraphiant leurs actes via des personnages hacktivistes sur Telegram.
« Les avantages offerts par le playbook sont particulièrement adaptés à un environnement opérationnel rapide et très contesté, ce qui indique que les objectifs de guerre de la Russie ont probablement guidé les plans d’action tactiques choisis par le GRU », a déclaré Mandiant, propriété de Google. a dit.