L’Ukraine met en garde contre les attaques d’InvisiMole liées à des pirates informatiques russes parrainés par l’État

Les responsables de la sécurité ukrainiens ont mis en garde contre les attaques en cours d’InvisiMole, un groupe de piratage lié au groupe russe de menace persistante avancée (APT) Gamaredon.

La semaine dernière, l’équipe d’intervention d’urgence informatique pour l’Ukraine (CERT-UA) a déclaré que le département a été conseillé de nouvelles campagnes de phishing contre des organisations ukrainiennes qui diffusent la porte dérobée LoadEdge.

Selon CERT-UA, des e-mails de phishing sont envoyés avec une archive jointe, 501_25_103.zip, ainsi qu’un fichier de raccourci (LNK). S’il est ouvert, un fichier d’application HTML (HTA) télécharge et exécute VBScript conçu pour déployer LoadEdge.

Une fois que la porte dérobée a formé un lien vers un serveur de commande et de contrôle (C2) InvisiMole, d’autres charges utiles de logiciels malveillants sont protocolées et exécutées, y compris le logiciel malveillant TunnelMole qui abuse du DNS pour former un tunnel pour la distribution de logiciels malveillants, et RC2FM et RC2CL , qui sont des modules de collecte de données et de surveillance par porte dérobée. La persistance est maintenue via le registre Windows.

InvisiMole a été découvert pour la première fois par des chercheurs d’ESET en 2018. Les acteurs de la menace sont actifs depuis au moins 2013 et sont liés à des attaques contre des organisations « de premier plan » en Europe de l’Est qui sont impliquées dans des activités militaires et des missions diplomatiques.

En 2020, les chercheurs en cybersécurité ont forgé un lien de sommeil entre InvisiMole et Gamaredon / Primitive Bear, ce dernier semble être impliqué dans l’infiltration initiale des réseaux avant qu’InvisiMole ne commence sa propre opération.

“Nous avons découvert que l’arsenal d’InvisiMole n’est déclenché qu’après qu’un autre groupe de menaces, Gamaredon, a déjà infiltré le réseau d’intérêt et peut-être obtenu des privilèges administratifs”, a déclaré ESET à l’époque. “Cela permet au groupe InvisiMole de concevoir des moyens créatifs d’opérer sous le radar.”

Palo Alto Networks a également suivi Gamaredon et, en février, a déclaré que l’APT avait tenté à faire des compromis une « entité gouvernementale occidentale » anonyme en Ukraine par le biais de fausses offres d’emploi.

Le CERT-UA a également commencé à suivre les activités de Vermine/UAC-0020, un groupe qui a tenté de s’introduire dans les systèmes des autorités de l’État ukrainien. Vermin a utilisé le sujet des fournitures dans les e-mails de harponnage comme un leurre, et s’ils sont ouverts par une victime, ces e-mails contiennent une lettre et une archive protégée par mot de passe contenant le malware Spectr.

En 2018, ESET et Réseaux de Palo Alto a publié des recherches sur Vermin, un groupe qui est actif depuis au moins quatre ans, bien qu’il puisse remonter à 2015.

Dès le départ, Vermin ciblait les institutions gouvernementales ukrainiennes, les chevaux de Troie d’accès à distance (RAT) Quasar, Sobaken et Vermin étant les outils malveillants de choix.

Alors que les variantes de Quasar et Sobaken ont été compilées à l’aide d’un code open source disponible gratuitement, Vermin est appelé un RAT “sur mesure” capable d’effectuer des activités telles que l’exfiltration de données, l’enregistrement de frappe, l’enregistrement audio et le vol d’informations d’identification.

Dans des nouvelles connexes ce mois-ci, l’équipe Nautilus d’Aqua Security a déclaré que le public référentiels cloud sont utilisés pour héberger des ressources des deux côtés de la guerre, l’appel de l’Ukraine à une « armée informatique » de volontaires devenant un catalyseur pour les outils publics permettant de lancer des attaques par déni de service (DoS) contre les services russes en ligne.

Ce ne sont pas seulement les RAT et les logiciels malveillants basés sur la surveillance auxquels les organisations ukrainiennes doivent faire face. ESET a détecté trois formes de logiciels malveillants d’effacement – conçus pour détruire les fichiers et les ressources informatiques, plutôt que pour voler des informations ou espionner les victimes – en autant de semaines.

Le dernier essuie-glace, surnommé CaddyWipera été trouvé “sur quelques dizaines de systèmes dans un nombre limité d’organisations”, selon ESET.

Couverture précédente et connexe


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


Leave a Comment