Un acteur malveillant li\u00e9 \u00e0 la Russie a \u00e9t\u00e9 li\u00e9 \u00e0 une nouvelle campagne qui a utilis\u00e9 une voiture \u00e0 vendre comme leurre de phishing pour fournir une porte d\u00e9rob\u00e9e Windows modulaire appel\u00e9e HeadLace.<\/p>\n
\u00ab La campagne visait probablement des diplomates et a commenc\u00e9 d\u00e8s mars 2024 \u00bb, a d\u00e9clar\u00e9 l’unit\u00e9 42 de Palo Alto Networks. dit<\/a> dans un rapport publi\u00e9 aujourd’hui, l’attribuant avec un niveau de confiance moyen \u00e0 \u00e9lev\u00e9 \u00e0 APT28, \u00e9galement appel\u00e9 BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy et TA422.<\/p>\n Il convient de noter que les th\u00e8mes d’app\u00e2ts de phishing de vente de voitures ont d\u00e9j\u00e0 \u00e9t\u00e9 utilis\u00e9s par un autre groupe d’\u00c9tat-nation russe appel\u00e9 APT29 depuis juillet 2023, ce qui indique qu’APT28 r\u00e9utilise des tactiques efficaces pour ses propres campagnes.<\/p>\n D\u00e9but mai, l’acteur malveillant a \u00e9t\u00e9 impliqu\u00e9 dans une s\u00e9rie de campagnes ciblant des r\u00e9seaux \u00e0 travers l’Europe avec le malware HeadLace et des pages Web de collecte d’informations d’identification.<\/p>\n Les attaques se caract\u00e9risent par l’utilisation d’un service l\u00e9gitime appel\u00e9 webhook[.]site \u2013 une caract\u00e9ristique des op\u00e9rations cybern\u00e9tiques d’APT28 avec Mocky \u2013 pour h\u00e9berger une page HTML malveillante, qui v\u00e9rifie d’abord si la machine cible fonctionne sous Windows et, si tel est le cas, propose une Archives ZIP<\/a> \u00e0 t\u00e9l\u00e9charger (“IMG-387470302099.zip”).<\/p>\n Si le syst\u00e8me n’est pas bas\u00e9 sur Windows, il redirige vers une image leurre h\u00e9berg\u00e9e sur ImgBB, en particulier un SUV Audi Q7 Quattro.<\/p>\n L’archive contient trois fichiers : l’ex\u00e9cutable l\u00e9gitime de la calculatrice Windows qui se fait passer pour un fichier image (\u00ab IMG-387470302099.jpg.exe \u00bb), une DLL (\u00ab WindowsCodecs.dll \u00bb) et un script batch (\u00ab zqtxmo.bat \u00bb).<\/p>\n Le binaire de la calculatrice est utilis\u00e9 pour charger lat\u00e9ralement la DLL malveillante, un composant de la porte d\u00e9rob\u00e9e HeadLace con\u00e7u pour ex\u00e9cuter le script batch, qui, \u00e0 son tour, ex\u00e9cute une commande cod\u00e9e en Base64 pour r\u00e9cup\u00e9rer un fichier \u00e0 partir d’un autre webhook[.]URL du site. <\/p>\n Ce fichier est ensuite enregistr\u00e9 sous le nom \u00ab IMG387470302099.jpg \u00bb dans le dossier de t\u00e9l\u00e9chargement des utilisateurs et renomm\u00e9 en \u00ab IMG387470302099.cmd \u00bb avant l’ex\u00e9cution, apr\u00e8s quoi il est supprim\u00e9 pour effacer les traces de toute activit\u00e9 malveillante.<\/p>\n \u00ab Bien que l’infrastructure utilis\u00e9e par Fighting Ursa varie selon les campagnes d’attaque, le groupe s’appuie fr\u00e9quemment sur ces services disponibles gratuitement \u00bb, a d\u00e9clar\u00e9 Unit 42. \u00ab De plus, les tactiques de cette campagne correspondent aux campagnes Fighting Ursa d\u00e9j\u00e0 document\u00e9es, et la porte d\u00e9rob\u00e9e HeadLace est exclusive \u00e0 cet acteur de la menace. \u00bb<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/APT28-cible-les-diplomates-avec-le-malware-HeadLace-via-un.jpg\")
<\/a><\/center><\/section>\n