Actus

Des pirates du gouvernement russe frappent l’Ukraine avec Cobalt Strike et le malware CredoMap

Par , le 22 juin 2022 - 4 minutes de lecture
Des pirates du gouvernement russe frappent l'Ukraine avec Cobalt Strike et le malware CredoMap
Notez l'article

L’équipe ukrainienne d’intervention d’urgence informatique (CERT) avertit que des groupes de piratage russes exploitent la vulnérabilité d’exécution de code Follina dans de nouvelles campagnes de phishing pour installer le logiciel malveillant CredoMap et les balises Cobalt Strike.

On pense que le groupe de piratage APT28 envoie des e-mails contenant un nom de document malveillant “Nuclear Terrorism A Very Real Threat.rtf.”. Les acteurs de la menace ont choisi le sujet de cet e-mail pour inciter les destinataires à l’ouvrir, exploitant la peur qui se répand parmi les Ukrainiens à propos d’une éventuelle attaque nucléaire.

Les acteurs de la menace ont également utilisé une tactique similaire en mai 2022, lorsque le CERT-UA a identifié la diffusion de documents malveillants avertissant d’une attaque chimique.

Le document RTF utilisé dans la campagne APT28 tente d’exploiter CVE-2022-30190, alias “Follina”, pour télécharger et lancer le malware CredoMap (docx.exe) sur l’appareil d’une cible.

Cette vulnérabilité est une faille de l’outil de diagnostic Microsoft, exploitée à l’état sauvage depuis au moins avril 2022, déclenchant des téléchargements malveillants en ouvrant simplement un fichier de document ou, dans le cas des fichiers RTF, en le visualisant simplement dans le volet de prévisualisation de Windows.

CredoMap est une souche de malware inconnue détectée par plusieurs moteurs AV sur Virus Total, avec de nombreux fournisseurs le classant comme un cheval de Troie voleur de mot de passe.

Dans un rapport associé publié par Malwarebytes aujourd’hui, les analystes de la sécurité précisent que la charge utile est un voleur d’informations qu’APT28 a utilisé contre des cibles ukrainiennes en mai.

Le logiciel malveillant vise à voler des informations stockées dans les navigateurs Web Chrome, Edge et Firefox, telles que les identifiants de compte et les cookies.

Enfin, le logiciel malveillant exfiltre les données volées à l’aide du protocole de messagerie IMAP, en envoyant le tout à l’adresse C2, qui est hébergée sur un site abandonné basé à Dubaï.

Selon le chercheur en cybersécurité MalwareHunterteam, qui a découvert cette campagne hier, le logiciel malveillant utilise des informations d’identification IMAP codées en dur, permettant potentiellement à tout chercheur d’accéder aux données volées.

Le CERT-UA a mis en garde la semaine dernière contre l’exploitation de CVE-2022-30190 par des pirates informatiques russes du groupe Sandworm, mais cette fois, les acteurs de la menace responsables des attaques sont identifiés comme étant le groupe APT28.

APT28 (alias STRONTIUM, Fancy Bear et Sofacy) est un groupe de piratage russe spécialisé dans le cyberespionnage et aurait des liens avec le gouvernement russe.

Le groupe est actif depuis 2007, ciblant les gouvernements, les militaires et les organisations de sécurité.

La campagne Cobalt Strike est également en cours

La campagne Cobalt Strike est également en cours

Parallèlement à l’activité ci-dessus, le CERT-UA a également identifié une campagne différente par un acteur menaçant suivi comme UAC-0098, utilisant également CVE-2022-30190 pour infecter la cible avec une interaction minimale.

Dans ce cas, le CERT-UA indique que l’auteur de la menace utilise un fichier DOCX nommé “Imposition de pénalités.docx”, et que la charge utile extraite d’une ressource distante est une balise Cobalt Strike (ked.dll) avec une date de compilation récente.

Les e-mails envoyés proviennent soi-disant du Service national des impôts d’Ukraine, avec pour objet : “Avis de non-paiement de l’impôt”.

Étant donné que l’Ukraine est en guerre avec la Russie et que de nombreux citoyens ont naturellement négligé leurs obligations régulières en matière de paiement d’impôts envers l’État, le leurre pourrait être efficace contre de nombreuses personnes dans ce cas.

Le CERT-UA conseille aux employés des organisations critiques de rester vigilants face aux menaces transmises par e-mail, car le nombre d’attaques de harponnage reste élevé.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.