Actus

Les pirates informatiques ciblent le gouvernement russe avec de fausses mises à jour Windows poussant les RAT

Par hfrance , le 30 mai 2022 - 4 minutes de lecture
Les pirates informatiques ciblent le gouvernement russe avec de fausses mises à jour Windows poussant les RAT
Notez l'article

Les pirates informatiques ciblent les agences gouvernementales russes avec des e-mails de phishing qui prétendent être des mises à jour de sécurité Windows et d’autres leurres pour installer des logiciels malveillants d’accès à distance.

Les attaques sont menées par un groupe APT (menace persistante avancée) qui n’a pas encore été détecté et qui opérerait depuis la Chine, qui est lié à quatre campagnes de harponnage distinctes.

Ces opérations se sont déroulées entre février et avril 2022, coïncidant avec l’invasion russe de l’Ukraine. Ses cibles ont été des entités gouvernementales de la Fédération de Russie.

Dans les quatre cas, le but ultime des campagnes était d’infecter les cibles avec un cheval de Troie d’accès à distance personnalisé (RAT) qui a très probablement aidé dans les opérations d’espionnage.

La découverte et le rapport proviennent d’analystes de l’équipe Malwarebytes Threat Intelligence, qui ont remarqué les tentatives distinctives des acteurs de la menace d’usurper d’autres groupes de piratage et de passer inaperçues.

Les campagnes de phishing

Les campagnes de phishing

La première des quatre campagnes attribuées à ce nouvel APT a débuté en février 2022, quelques jours seulement après l’invasion russe de l’Ukraine, distribuant le RAT sous le nom “interactive_map_UA.exe”.

Pour la deuxième vague, l’APT a eu plus de temps pour préparer quelque chose de plus sophistiqué. Ils ont utilisé une archive tar.gz censée être un correctif pour la vulnérabilité Log4Shell envoyée par le ministère du Développement numérique, des Télécommunications et des Communications de masse de la Fédération de Russie.

Selon Malwarebytes, cette campagne avait un ciblage étroit car la plupart des e-mails associés parvenaient aux employés de la station de télévision RT, un réseau de télévision russe appartenant à l’État.

Ces e-mails contenaient un PDF avec des instructions sur l’installation du correctif Log4j et incluaient même des conseils tels que “ne pas ouvrir ou répondre aux e-mails suspects”.

“Compte tenu de l’utilisation par les cybercriminels de certaines vulnérabilités logicielles et de type serveur pour accéder aux informations des utilisateurs, un correctif logiciel a été publié pour mettre à jour un système Windows 10 qui ferme la vulnérabilité CVE-2021-44228 (niveau de gravité 10.0)” lit le document de phishing traduit, comme indiqué ci-dessous.

La troisième campagne usurpe Rostec, un conglomérat de défense appartenant à l’État russe, et les acteurs ont utilisé des domaines nouvellement enregistrés comme “Rostec.digital” et de faux comptes Facebook pour diffuser leur logiciel malveillant tout en donnant l’impression qu’il provient de l’entité connue.

Enfin, en avril 2022, les pirates chinois sont passés à un document Word macro-infecté contenant une fausse offre d’emploi de Saudi Aramco, une grande entreprise pétrolière et gazière.

Le document utilisait l’injection de modèle à distance pour récupérer le modèle malveillant et déposer le script VBS sur les candidats postulant au poste d'”analyste de stratégie et de croissance”.

Charge utile personnalisée furtive

Charge utile personnalisée furtive

Malwarebytes a pu récupérer des échantillons de la charge utile supprimée des quatre campagnes et signale que dans tous les cas, il s’agit essentiellement de la même DLL utilisant des noms différents.

Le logiciel malveillant utilise des techniques anti-analyse telles que l’aplatissement du flux de contrôle via OLLVM et l’obscurcissement des chaînes à l’aide de l’encodage XOR.

En termes de commandes que le C2 peut demander à la charge utile, celles-ci incluent les suivantes :

Les domaines C2 découverts par Malwarebytes étaient “windowsipdate[.]com”, “microsoftupdetes[.]com” et “mirror-exchange[.]com”.

Usurpation d’autres pirates

Usurpation d'autres pirates

La preuve qui indique que ce nouvel APT est un groupe chinois provient de l’infrastructure, mais la confiance de Malwarebytes est faible.

Ce qui est clair, c’est l’intention de l’auteur de la menace de cacher ses traces distinctives en usurpant d’autres pirates et en utilisant leurs outils malveillants.

Par exemple, certaines parties de l’infrastructure utilisée étaient auparavant reliées au Sakula RAT, utilisé par l’APT chinois Deep Panda.

Une autre découverte intéressante est que le nouvel APT a utilisé le même constructeur de macros pour la vague Saudi Aramco que TrickBot et BazarLoader.

Enfin, il y a le déploiement de la bibliothèque wolfSSL, qui est généralement vue exclusivement dans les campagnes Lazarus ou Tropic Trooper.

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.