L’armée ukrainienne ciblée par une attaque russe APT PowerShell

Une menace persistante avancée (APT) russe sophistiquée a lancé une campagne d’attaque ciblée PowerShell contre l’armée ukrainienne.

L'attaque est très probablement perpétrée par acteurs malveillants liés à Shuckworm, un groupe ayant un historique de campagnes contre l’Ukraine, motivées par des intérêts géopolitiques, d’espionnage et de perturbation.

La campagne malveillante, suivie par Securonix sous le nom STEADY#URSA, utilise une porte dérobée basée sur SUBTLE-PAWS PowerShell récemment découverte pour infiltrer et compromettre les systèmes ciblés.

Ce type de porte dérobée permet aux acteurs malveillants d'obtenir un accès non autorisé, d'exécuter des commandes et de maintenir la persistance au sein des systèmes compromis.

La méthodologie d'attaque implique la distribution d'une charge utile malveillante via des fichiers compressés envoyés via des e-mails de phishing.

La distribution et le mouvement latéral des logiciels malveillants s'effectuent via des clés USB, éliminant ainsi le besoin d'accéder directement au réseau.

Le rapport note que ce type d'approche serait rendu difficile en raison des communications isolées de l'Ukraine comme Starlink.

La campagne présente des similitudes avec le malware Shuckworm et intègre des tactiques, techniques et procédures (TTP) distinctes. observé lors des cyber-campagnes précédentes contre l'armée ukrainienne.

Oleg Kolesnikov, vice-président de la recherche sur les menaces et de la science des données/IA chez Securonix, explique que SUBTLE-PAWS se différencie par sa dépendance « assez exclusive » à l'égard des étapes d'exécution hors disque/PowerShell, évitant ainsi les charges utiles binaires traditionnelles. Il utilise également des couches supplémentaires de techniques d’obscurcissement et d’évasion.

"Celles-ci incluent le codage, le fractionnement des commandes et la persistance basée sur le registre pour échapper à la détection, entre autres", dit-il.

Il établit le commandement et le contrôle (C2) en communiquant via Telegram avec un serveur distant, en utilisant des méthodes adaptatives telles que les requêtes DNS et les requêtes HTTP avec des adresses IP stockées dynamiquement.

Le malware utilise également des mesures furtives telles que le codage Base64 et XOR, des techniques de randomisation et la sensibilité de l'environnement pour renforcer sa nature insaisissable.

L'entité ciblée exécute un fichier de raccourci malveillant (.lnk), initiant le chargement et l'exécution d'un nouveau code de charge utile de porte dérobée PowerShell.

La porte dérobée SUBTLE-PAWS est intégrée dans un autre fichier contenu dans la même archive compressée.

Kolesnikov affirme que d'éventuelles mesures proactives peuvent inclure la mise en œuvre de programmes d'éducation des utilisateurs pour reconnaître une exploitation potentielle par courrier électronique, une sensibilisation accrue à l'utilisation de charges utiles .lnk malveillantes sur des disques externes pour se propager dans des environnements isolés et plus compartimentés, et l'application de politiques strictes et de décompression des fichiers utilisateur. pour atténuer les risques.

« Pour renforcer la sécurité des clés USB, les organisations doivent mettre en œuvre des politiques de contrôle des appareils pour restreindre l'utilisation non autorisée des clés USB et analyser régulièrement les supports amovibles à la recherche de logiciels malveillants à l'aide de solutions avancées de sécurité des points finaux », explique-t-il.

Pour améliorer la couverture de détection des journaux, Securonix a conseillé de déployer une journalisation supplémentaire au niveau des processus, telle que la journalisation Sysmon et PowerShell.

« Les organisations doivent également appliquer des politiques strictes de liste blanche des applications [et] mettre en œuvre un filtrage amélioré des e-mails, une surveillance appropriée du système ainsi que des solutions de détection et de réponse des points finaux pour surveiller et bloquer les activités suspectes », explique Kolesnikov.

Cybermenaces, acteurs étatiques

La guerre terrestre en cours en Ukraine a également été menée dans le domaine numérique, avec Kyivstar, le plus grand opérateur de télécommunications mobiles d'Ukraine, victime d'une cyberattaque en décembre qui a anéanti le service cellulaire pour plus de la moitié de la population ukrainienne.

En juin 2023, Microsoft a publié les détails de l'APT russe Blizzard des cadets, considéré comme responsable du malware wiper déployé au cours des semaines précédant l'invasion de l'Ukraine par la Russie.

Les attaques de cybersécurité perpétrées par des groupes hacktivistes russes – notamment le groupe menaçant Joker DPR, soupçonné d'être lié à l'État – ont également affirmé avoir violé le système de gestion du champ de bataille de l'armée ukrainienne, DELTA, révélant les mouvements de troupes en temps réel.

Au-delà du conflit en Europe de l’Est, les groupes menaçants l'Iran, Syrieet une Liban démontrer la menace de cyberattaques dans les conflits au Moyen-Orient. La sophistication croissante de ces menaces indique que les acteurs malveillants soutenus par l'État sont moderniser leurs malwares techniques, et plusieurs groupes de menaces sont se regrouper pour lancer des attaques plus complexes.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack