Des cibles situées en Azerbaïdjan ont été ciblées dans le cadre d’une nouvelle campagne conçue pour déployer des logiciels malveillants basés sur Rust sur des systèmes compromis.
La société de cybersécurité Deep Instinct suit l’opération sous le nom d’Opération Rusty Flag. Il n’a été associé à aucun acteur ou groupe menaçant connu.
« L’opération comporte au moins deux vecteurs d’accès initiaux différents », affirment les chercheurs en sécurité Simon Kenin, Ron Ben Yizhak et Mark Vaitzman. dit dans une analyse publiée la semaine dernière. « L’un des leurres utilisés dans l’opération est un document modifié utilisé par le groupe Storm-0978. Cela pourrait être un ‘faux drapeau’ délibéré. »
La chaîne d’attaque exploite un fichier LNK nommé 1.KARABAKH.jpg.lnk comme rampe de lancement pour récupérer une charge utile de deuxième étape, un programme d’installation MSI, hébergé sur Dropbox.
Le fichier d’installation, pour sa part, supprime un implant écrit en Rust, un fichier XML pour une tâche planifiée pour exécuter l’implant et un fichier image leurre contenant des filigranes de l’implant. symbole du ministère azerbaïdjanais de la Défense.
Un autre vecteur d’infection est un document Microsoft Office nommé « Overview_of_UWCs_UkraineInNATO_campaign.docx », qui exploite CVE-2017-11882, une vulnérabilité de corruption de mémoire vieille de six ans dans l’éditeur d’équation de Microsoft Office, pour appeler une URL Dropbox hébergeant un autre service de fichiers MSI. une variante de la même porte dérobée Rust.
L’utilisation de Overview_of_UWCs_UkraineInNATO_campaign.docx est remarquable, car un leurre portant le même nom de fichier a été exploité par Storm-0978 (alias RomCom, Tropical Scorpius, UNC2596 et Void Rabisu) lors de récentes cyberattaques ciblant l’Ukraine qui exploitent une faille d’exécution de code à distance d’Office ( CVE-2023-36884).
Niveau de sécurité SaaS : un guide complet sur l’ITDR et le SSPM
Gardez une longueur d’avance grâce à des informations exploitables sur la manière dont l’ITDR identifie et atténue les menaces. Découvrez le rôle indispensable de SSPM pour garantir que votre identité reste inviolable.
« Cette action ressemble à une tentative délibérée sous fausse bannière d’implanter cette attaque sur la Tempête-0978 », ont déclaré les chercheurs.
La porte dérobée Rust, dont l’une se fait passer pour « WinDefenderHealth.exe », est dotée de fonctionnalités permettant de collecter des informations sur l’hôte compromis et de les envoyer à un serveur contrôlé par un attaquant.
Les objectifs finaux exacts de la campagne restent flous à ce stade. Dans le même temps, la possibilité qu’il s’agisse d’un exercice d’équipe rouge n’a pas été écartée.
« Rust est de plus en plus populaire parmi les auteurs de logiciels malveillants », ont déclaré les chercheurs. « Les produits de sécurité ne détectent pas encore avec précision les logiciels malveillants Rust et le processus d’ingénierie inverse est plus complexe. »