Les chasseurs de menaces de Microsoft et Symantec partagent des notes sur un barrage de nouvelles attaques de cyberespionnage de l'agence d'espionnage russe qui frappe des organisations en Ukraine.
Les deux sociétés ont publié cette semaine des rapports distincts pour documenter la découverte d'une nouvelle activité de logiciels malveillants liée à Gamaredon, un groupe APT du gouvernement russe qui se concentre sur le piratage - et le maintien d'une persistance furtive - depuis plus d'une décennie.
Les rapports du secteur privé, qui incluent des IOC (indicateurs de compromission) pour aider à la détection et à la suppression, arrivent quelques jours seulement après que le gouvernement ukrainien attribué publiquement le malware attaque le FSB (Federal Security Service) russe et affirme que le groupe a opéré avec « intrusion et audace » depuis sa première apparition en 2013.
Le rapport de Microsoft décrit l'acteur comme opérationnel depuis plus d'une décennie, cherchant constamment à accéder à des organisations en Ukraine ou à des entités liées aux affaires ukrainiennes.
Plus récemment, Redmond a déclaré que les cyberespions russes ciblaient ou compromettaient les comptes d'organisations essentielles à la réponse d'urgence et assurant la sécurité du territoire ukrainien, ainsi que d'organisations qui seraient impliquées dans la coordination de la distribution de l'aide internationale et humanitaire à l'Ukraine en cas de crise.
[ LIS: Volexity met en garde contre "l'exploitation active" de Zimbra Zero-Day ]
Microsoft a déclaré avoir directement informé les clients de ses services en ligne ciblés ou compromis, ainsi que les autorités ukrainiennes.
L'unité de chasse aux menaces de Microsoft a déclaré que les auteurs de logiciels malveillants utilisaient des leurres de courrier électronique de phishing avec des pièces jointes piégées qui utilisent des modèles distants. Ces e-mails de phishing semblent gérer la reconnaissance des futures attaques en suivant le moment où un message a été ouvert ou rendu.
Selon le Rapport Microsoft, les messages d'hameçonnage contiennent également une charge utile de première étape qui télécharge et exécute des charges utiles supplémentaires. Le groupe a également été observé utilisant une structure opérationnelle en évolution rapide pour échapper à la détection et rester furtif.
"En un seul instantané de 30 jours, [we saw the actor] utilise plus de 25 nouveaux domaines uniques et plus de 80 adresses IP uniques, démontrant qu'ils modifient ou altèrent fréquemment leur infrastructure", a déclaré Microsoft.
Les chasseurs de menaces ont également expliqué l'utilisation de plusieurs familles de logiciels malveillants dans les campagnes, ainsi que de nouvelles capacités obscurcies et légères pour déployer ultérieurement des logiciels malveillants plus avancés.
[ RYAN NARAÏNE : Cinq signaux clés du buste russe REvil Ransomware ]
«Ce sont des cibles en mouvement rapide avec un degré élevé de variance. Les charges utiles analysées mettent régulièrement l'accent sur les VBScripts obscurcis. En tant qu'attaque, ce n'est pas une approche nouvelle, mais elle continue de faire ses preuves car les solutions antivirus doivent constamment s'adapter pour suivre le rythme d'une menace très agile », a déclaré Microsoft.
A document séparé de l'unité Symantec de Broadcom détaille un cas où le groupe de piratage russe a envoyé des documents Word truqués pour sélectionner des cibles ukrainiennes et a exécuté silencieusement des scripts malveillants en arrière-plan lorsque les fichiers ont été ouverts.
Symanted a déclaré avoir découvert sept fichiers utilisés par le groupe et partagé des modèles dans les données des indicateurs de compromission (IOC) pour aider les défenseurs à rechercher des signes d'infection.
Selon les données officielles du gouvernement ukrainien, le groupe de piratage russe a été responsable de plus de 5,000 1,500 attaques contre plus de XNUMX XNUMX systèmes gouvernementaux ukrainiens.
Connexe: L'Ukraine nomme des officiers russes du FSB impliqués dans les attaques de Gamaredon
Connexe: Le groupe Gamaredon utilise des logiciels malveillants personnalisés dans les attaques en Ukraine
Connexe: Les pirates informatiques russes "Gamaredon" sont de retour pour cibler les responsables ukrainiens