Des chercheurs en cybersécurité ont découvert une opération ciblée contre l’Ukraine qui exploitait une faille vieille de près de sept ans dans Microsoft Office pour lancer Cobalt Strike sur des systèmes compromis.
La chaîne d’attaque, qui a eu lieu fin 2023 selon Deep Instinct, utilise comme point de départ un fichier de diaporama PowerPoint (“signal-2023-12-20-160512.ppsx”), dont le nom de fichier implique qu’il pourrait s’agir d’un fichier PowerPoint. été partagé via l’application de messagerie instantanée Signal.
Cela dit, il n’existe aucune preuve réelle indiquant que le fichier PPSX a été distribué de cette manière, même si l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a découvert deux campagnes différentes qui ont utilisé l’application de messagerie comme vecteur de diffusion de logiciels malveillants. vecteur dans le passé.
La semaine dernière, l’agence a révélé que les forces armées ukrainiennes étaient de plus en plus ciblées par le groupe UAC-0184 via des plateformes de messagerie et de rencontres pour diffuser des logiciels malveillants tels que HijackLoader (alias GHOSTPULSE et SHADOWLADDER), XWorm et Remcos RAT, ainsi que des logiciels open source. des programmes tels que sigtop et tusc pour exfiltrer les données des ordinateurs.
“Le fichier PPSX (diaporama PowerPoint) semble être un ancien manuel d’instructions de l’armée américaine concernant les lames de déminage (MCB) pour les chars”, a déclaré le chercheur en sécurité Ivan Kosarev. “Le fichier PPSX inclut une relation distante avec un objet OLE externe.”
Cela implique l’exploitation de CVE-2017-8570 (score CVSS : 7,8), un bug d’exécution de code à distance désormais corrigé dans Office qui pourrait permettre à un attaquant d’effectuer des actions arbitraires après avoir convaincu une victime d’ouvrir un fichier spécialement conçu, de charger un script distant hébergé sur weavesilk[.]espace.
Le script fortement obscurci lance ensuite un fichier HTML contenant du code JavaScript, qui, à son tour, configure la persistance sur l’hôte via le registre Windows et supprime une charge utile d’étape suivante qui usurpe l’identité du client VPN Cisco AnyConnect.
La charge utile comprend une bibliothèque de liens dynamiques (DLL) qui injecte finalement une Cobalt Strike Beacon piratée, un outil de test d’intrusion légitime, directement dans la mémoire système et attend des instructions supplémentaires d’un serveur de commande et de contrôle (C2) (“petapixel[.]amusant”).
La DLL intègre également des fonctionnalités permettant de vérifier si elle est exécutée sur une machine virtuelle et d’échapper à la détection par un logiciel de sécurité.
Deep Instinct a déclaré qu’il ne pouvait ni lier les attaques à un acteur ou à un groupe menaçant spécifique, ni exclure la possibilité d’un exercice d’équipe rouge. L’objectif final exact de l’intrusion n’est pas non plus clair.
“Le leurre contenait du contenu à caractère militaire, suggérant qu’il ciblait le personnel militaire”, a déclaré Kosarev.
“Mais les noms de domaine tissent de la soie[.]espace et pétapixel[.]fun sont déguisés en un obscur site d’art génératif (weavesilk[.]com) et un site de photographie populaire (petapixel[.]com). Ces éléments n’ont aucun rapport, et il est un peu curieux de savoir pourquoi un attaquant les utiliserait spécifiquement pour tromper le personnel militaire. »
Cette divulgation intervient alors que le CERT-UA a révélé qu’environ 20 fournisseurs d’énergie, d’eau et de chauffage en Ukraine ont été ciblés par un groupe parrainé par l’État russe appelé UAC-0133, un sous-cluster de Sandworm (alias APT44, FROZENBARENTS, Seashell Blizzard, UAC-0002 et Voodoo Bear), qui est responsable de la majeure partie de toutes les opérations perturbatrices et destructrices contre le pays.
Les attaques, qui visaient à saboter des opérations critiques, impliquent l’utilisation de logiciels malveillants comme Kapeka (alias ICYWELL, KnuckleTouch, QUEUESEED et falsesens) et sa variante Linux BIASBOAT, ainsi que GOSSIPFLOW et LOADGRIP.
Alors que GOSSIPFLOW est un proxy SOCKS5 basé sur Golang, LOADGRIP est un binaire ELF écrit en C utilisé pour charger BIASBOAT sur des hôtes Linux compromis.
Sandworm est un groupe menaçant prolifique et hautement adaptatif lié à l’unité 74455 au sein de la direction principale de l’état-major général des forces armées de la Fédération de Russie (GRU). On sait qu’il est actif depuis au moins 2009, l’adversaire étant également lié à trois personnalités hacktivistes telles que XakNet Team, CyberArmyofRussia_Reborn et Solntsepek.
“Parrainé par les renseignements militaires russes, APT44 est un acteur menaçant dynamique et opérationnel, activement engagé dans tout le spectre des opérations d’espionnage, d’attaque et d’influence”, a déclaré Mandiant, décrivant la menace persistante avancée (APT) comme étant engagée dans un ensemble multiple. un effort sur plusieurs fronts pour aider la Russie à obtenir un avantage en temps de guerre depuis janvier 2022.
“Les opérations de l’APT44 ont une portée mondiale et reflètent les vastes intérêts et ambitions nationaux de la Russie. Les schémas d’activité au fil du temps indiquent que l’APT44 est chargée d’une série de priorités stratégiques différentes et est très probablement considérée par le Kremlin comme un instrument de pouvoir flexible, capable de répondre aux besoins de renseignement à la fois durables et émergents.
