Un nouveau groupe APT cible des organisations situées au cœur de la zone de conflit russo-ukrainienne.
En octobre 2022, les chercheurs de Kaspersky ont découvert une campagne de menaces persistantes avancées (APT) ciblant des organisations situées sur les zones particulièrement affectées par le conflit militaire en cours entre l’Ukraine et la Russie. Baptisée CommonMagic, cette campagne d'espionnage, active a minima depuis septembre 2021, exploite un logiciel malveillant jusqu'alors inconnu pour collecter des données concernant ses cibles. Ces dernières comprennent des organisations administratives, agricoles et de transport situées dans les régions de Donetsk, Luhansk et de Crimée.
Les attaques sont exécutées à l'aide d'une porte dérobée basée sur PowerShell, nommée PowerMagic, et d’un nouvel environnement de malware appelée CommonMagic. Ce dernier est capable de dérober des fichiers sur des dispositifs USB, de collecter des données et de les transmettre à l’auteur de l’attaque. Toutefois, son potentiel ne se limite pas à ces fonctions, car la structure modulaire des environnements malveillants permet de lancer d'autres activités frauduleuses par le biais de nouveaux modules malveillants.
Ces attaques ont très probablement commencé par une campagne de spear phishing, ou d'autres méthodes similaires, comme le suggèrent les étapes suivantes de la chaîne d'infection. Les victimes ont été redirigées vers une URL qui, à son tour, les a renvoyées à une archive ZIP hébergée sur un serveur malveillant. L'archive contenait un fichier malveillant déployant la porte dérobée PowerMagic, et un document bénin servant d’appât, destiné à faire croire aux victimes que le contenu de l’archive était légitime. Kaspersky a découvert un certain nombre de documents de ce type, dont les titres font référence à divers décrets d'organisations pertinentes pour les régions concernées.
Une fois que la victime télécharge l'archive et clique sur le fichier contenu dans cette dernière, son poste de travail est contaminé par la porte dérobée PowerMagic. La backdoor reçoit des instructions à partir d’un dossier distant situé sur un service de stockage cloud public, exécute les commandes envoyées par le serveur et télécharge ensuite les résultats de l'exécution vers le cloud en question. PowerMagic s'installe également dans le système pour être lancé de manière persistante au démarrage de l'appareil infecté.
Toutes les cibles de PowerMagic observées par Kaspersky ont également été infectées par un environnement modulaire que nous avons baptisé CommonMagic. Cela indique que CommonMagic a probablement été déployé par PowerMagic, bien que les données disponibles ne permettent pas de déterminer clairement comment l'infection a lieu.
L’environnement CommonMagic se compose de plusieurs modules. Chaque module est un fichier exécuté dans un processus qui lui est propre. Ces modules peuvent communiquer entre eux. CommonMagic est capable de voler des fichiers sur des périphériques USB, ainsi que de prendre des captures d'écran toutes les trois secondes et de les envoyer à l'attaquant.
À l'heure où nous écrivons ces lignes, il n'existe aucun lien direct entre le code et les données utilisés dans cette campagne et ceux utilisés dans des campagnes précédemment étudiées. Toutefois, comme la campagne est toujours active et que l'enquête est toujours en cours, il est possible que des recherches plus approfondies révèlent des informations supplémentaires qui permettraient d'attribuer cette campagne à un acteur de la menace plus précis. La victimologie restreinte et les appâts utilisés, portant sur le thème de la guerre entre la Russie et l’Ukraine, suggèrent que les attaquants ont probablement un intérêt particulier pour la situation géopolitique de la région en crise.
« La géopolitique influe toujours sur le paysage des cybermenaces et entraîne l'émergence de nouvelles menaces. Nous surveillons les activités liées au conflit entre l’Ukraine et la Russie depuis un certain temps déjà, et CommonMagic est l'une de nos dernières découvertes sur ce terrain. Bien que les logiciels malveillants et les techniques utilisés dans cette campagne ne soient pas particulièrement sophistiqués, l'utilisation du stockage cloud comme infrastructure de commande et de contrôle est remarquable. Nous allons poursuivre notre enquête et espérons pouvoir partager de plus amples informations sur cette campagne rapidement », commente Leonid Besverzhenko, chercheur en sécurité au sein de l'équipe de recherche et d'analyse globale (GReAT) de Kaspersky.
Lisez le rapport complet sur CommonMagic sur Securelist.
Afin de vous protéger vis-à-vis des attaques ciblées émanant d’acteurs de la menace connus ou inconnus, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
● Fournissez à votre équipe SOC l'accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence est un point d'accès unique aux renseignements sur les menaces visant les entreprises, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.
● Améliorez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts de GReAT.
● Pour la détection au niveau des terminaux, l'investigation et la remédiation rapide des incidents, mettez en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response.
● Outre l'adoption d'une protection essentielle des terminaux, mettez en œuvre une solution de sécurité d'entreprise qui détecte les menaces avancées au niveau du réseau à un stade précoce, telle que Kaspersky Anti Targeted Attack Platform.
● Comme de nombreuses attaques ciblées initiées par du phishing ou d'autres techniques d'ingénierie sociale, introduisez une formation de sensibilisation à la sécurité et enseignez des compétences pratiques à votre équipe. Kaspersky Automated Security Awareness Platform propose, par exemple, ce type de formation.
A propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.
Un nouveau groupe APT cible des organisations situées au cœur de la zone de conflit russo-ukrainienne.
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >