Un nouveau groupe APT cible des organisations situées au cœur de la zone de conflit russo-ukrainienne

0
279

En octobre 2022, les chercheurs de Kaspersky ont découvert une campagne de menaces persistantes avancées (APT) ciblant des organisations situées sur les zones particulièrement affectées par le conflit militaire en cours entre l’Ukraine et la Russie. Baptisée CommonMagic, cette campagne d’espionnage, active a minima depuis septembre 2021, exploite un logiciel malveillant jusqu’alors inconnu pour collecter des données concernant ses cibles. Ces dernières comprennent des organisations administratives, agricoles et de transport situées dans les régions de Donetsk, Louhansk et de Crimée.

Tribune – Les attaques sont exécutées à l’aide d’une porte dérobée basée sur PowerShell, nommée PowerMagic, et d’un nouvel environnement de malware appelée CommonMagic. Ce dernier est capable de dérober des fichiers sur des dispositifs USB, de collecter des données et de les transmettre à l’auteur de l’attaque. Toutefois, son potentiel ne se limite pas à ces fonctions, car la structure modulaire des environnements malveillants permet de lancer d’autres activités frauduleuses par le biais de nouveaux modules malveillants.

Ces attaques ont très probablement commencé par une campagne de spear phishing, ou d’autres méthodes similaires, comme le suggèrent les étapes suivantes de la chaîne d’infection. Les victimes ont été redirigées vers une URL qui, à son tour, les a renvoyées à une archive ZIP hébergée sur un serveur malveillant. L’archive contenait un fichier malveillant déployant la porte dérobée PowerMagic, et un document bénin servant d’appât, destiné à faire croire aux victimes que le contenu de l’archive était légitime. Kaspersky a découvert un certain nombre de documents de ce type, dont les titres font référence à divers décrets d’organisations pertinentes pour les régions concernées.

Document Word servant d’hameçon (avec pour sujet les résultats des élections de la Douma d’État en République de Crimée)

Une fois que la victime télécharge l’archive et clique sur le fichier contenu dans cette dernière, son poste de travail est contaminé par la porte dérobée PowerMagic. La backdoor reçoit des instructions à partir d’un dossier distant situé sur un service de stockage cloud public, exécute les commandes envoyées par le serveur et télécharge ensuite les résultats de l’exécution vers le cloud en question. PowerMagic s’installe également dans le système pour être lancé de manière persistante au démarrage de l’appareil infecté.

Toutes les cibles de PowerMagic observées par Kaspersky ont également été infectées par un environnement modulaire que nous avons baptisé CommonMagic. Cela indique que CommonMagic a probablement été déployé par PowerMagic, bien que les données disponibles ne permettent pas de déterminer clairement comment l’infection a lieu. 

L’environnement CommonMagic se compose de plusieurs modules. Chaque module est un fichier exécuté dans un processus qui lui est propre. Ces modules peuvent communiquer entre eux. CommonMagic est capable de voler des fichiers sur des périphériques USB, ainsi que de prendre des captures d’écran toutes les trois secondes et de les envoyer à l’attaquant.

Chaîne d’infection du framework CommonMagic

À l’heure où nous écrivons ces lignes, il n’existe aucun lien direct entre le code et les données utilisés dans cette campagne et ceux utilisés dans des campagnes précédemment étudiées. Toutefois, comme la campagne est toujours active et que l’enquête est toujours en cours, il est possible que des recherches plus approfondies révèlent des informations supplémentaires qui permettraient d’attribuer cette campagne à un acteur de la menace plus précis. La victimologie restreinte et les appâts utilisés, portant sur le thème de la guerre entre la Russie et l’Ukraine, suggèrent que les attaquants ont probablement un intérêt particulier pour la situation géopolitique de la région en crise.

« La géopolitique influe toujours sur le paysage des cybermenaces et entraîne l’émergence de nouvelles menaces. Nous surveillons les activités liées au conflit entre l’Ukraine et la Russie depuis un certain temps déjà, et CommonMagic est l’une de nos dernières découvertes sur ce terrain. Bien que les logiciels malveillants et les techniques utilisés dans cette campagne ne soient pas particulièrement sophistiqués, l’utilisation du stockage cloud comme infrastructure de commande et de contrôle est remarquable. Nous allons poursuivre notre enquête et espérons pouvoir partager de plus amples informations sur cette campagne rapidement », commente Leonid Besverzhenko, chercheur en sécurité au sein de l’équipe de recherche et d’analyse globale (GReAT) de Kaspersky.

Lisez le rapport complet sur CommonMagic sur Securelist.

Afin de vous protéger vis-à-vis des attaques ciblées émanant d’acteurs de la menace connus ou inconnus, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

  • Fournissez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence est un point d’accès unique aux renseignements sur les menaces visant les entreprises, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans. 

  • Améliorez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts de GReAT.

  • Pour la détection au niveau des terminaux, l’investigation et la remédiation rapide des incidents, mettez en œuvre des solutions EDR.

  • Outre l’adoption d’une protection essentielle des terminaux, mettez en œuvre une solution de sécurité d’entreprise qui détecte les menaces avancées au niveau du réseau à un stade précoce.