Le State Cyber \u200b\u200bProtection Center (SCPC) d’Ukraine a appel\u00e9 l’acteur de menace parrain\u00e9 par l’\u00c9tat russe connu sous le nom de Gamaredon<\/strong> pour ses cyberattaques cibl\u00e9es contre les autorit\u00e9s publiques et les infrastructures d’information critiques du pays.<\/p>\n La menace persistante avanc\u00e9e, \u00e9galement connue sous le nom d’Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa et UAC-0010, a un palmar\u00e8s<\/a> d’entit\u00e9s ukrainiennes en gr\u00e8ve remontant \u00e0 2013.<\/p>\n “L’activit\u00e9 continue du groupe UAC-0010 se caract\u00e9rise par une approche de t\u00e9l\u00e9chargement en plusieurs \u00e9tapes et l’ex\u00e9cution de charges utiles du logiciel espion utilis\u00e9 pour garder le contr\u00f4le sur les h\u00f4tes infect\u00e9s”, a d\u00e9clar\u00e9 le SCPC. m’a dit<\/a>. “Pour l’instant, le groupe UAC-0010 utilise GammaLoad et GammaSteel<\/a> logiciels espions dans leurs campagnes.”<\/p>\n GammaLoad est un logiciel malveillant VBScript Dropper con\u00e7u pour t\u00e9l\u00e9charger le VBScript suivant \u00e0 partir d’un serveur distant. GammaSteel est un script PowerShell capable d’effectuer une reconnaissance et d’ex\u00e9cuter des commandes suppl\u00e9mentaires.<\/p>\n L’objectif des attaques est davantage ax\u00e9 sur l’espionnage et le vol d’informations que sur le sabotage, a not\u00e9 l’agence. Le SCPC a \u00e9galement soulign\u00e9 l’\u00e9volution “insistante” des tactiques du groupe en red\u00e9veloppant son ensemble d’outils malveillants pour rester sous le radar, qualifiant Gamaredon de “cybermenace cl\u00e9”.<\/p>\n Les cha\u00eenes d’attaque commencent par des e-mails de harponnage contenant une archive RAR qui, lorsqu’elle est ouverte, active une longue s\u00e9quence comprenant cinq \u00e9tapes interm\u00e9diaires – un fichier LNK, un fichier HTA et trois fichiers VBScript – qui aboutissent finalement \u00e0 la livraison d’une charge utile PowerShell.<\/p>\n Les informations relatives \u00e0 l’adresse IP des serveurs de commande et de contr\u00f4le (C2) sont publi\u00e9es dans des canaux Telegram \u00e0 rotation p\u00e9riodique, corroborant un rapport de BlackBerry \u00e0 la fin du mois dernier.<\/p>\n Tous les droppers VBScript et les scripts PowerShell analys\u00e9s, par SCPC, sont respectivement des variantes des logiciels malveillants GammaLoad et GammaSteel, permettant efficacement \u00e0 l’adversaire d’exfiltrer des informations sensibles.<\/p>\n La divulgation intervient alors que l’\u00e9quipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) divulgu\u00e9<\/a> les d\u00e9tails d’une nouvelle campagne malveillante ciblant les autorit\u00e9s \u00e9tatiques d’Ukraine et de Pologne.<\/p>\n Les attaques prennent la forme de pages Web similaires qui se font passer pour le minist\u00e8re ukrainien des Affaires \u00e9trang\u00e8res, le service de s\u00e9curit\u00e9 ukrainien et la police polonaise (Policja) dans le but d’inciter les visiteurs \u00e0 t\u00e9l\u00e9charger un logiciel pr\u00e9tendant d\u00e9tecter les ordinateurs infect\u00e9s.<\/p>\n Cependant, lors du lancement du fichier – un script batch Windows nomm\u00e9 “Protector.bat” – il conduit \u00e0 l’ex\u00e9cution d’un script PowerShell capable de capturer des captures d’\u00e9cran et de r\u00e9colter des fichiers avec 19 extensions diff\u00e9rentes \u00e0 partir du poste de travail.<\/p>\n Le CERT-UA a attribu\u00e9 l’op\u00e9ration \u00e0 un acteur mena\u00e7ant qu’il appelle UAC-0114, \u00e9galement connu sous le nom de Viverne d’hiver<\/a> – une p\u00f4le d’activit\u00e9<\/a> qui a par le pass\u00e9 exploit\u00e9 des documents Microsoft Excel militaris\u00e9s contenant des macros XLM pour d\u00e9ployer des implants PowerShell sur des h\u00f4tes compromis.<\/p>\n L’invasion de l’Ukraine par la Russie en f\u00e9vrier 2022 a \u00e9t\u00e9 compl\u00e9t\u00e9<\/a> par des campagnes de phishing cibl\u00e9es, destructeur<\/a> attaques de logiciels malveillants et attaques par d\u00e9ni de service distribu\u00e9 (DDoS).<\/p>\n