Le groupe de hackers russes Shuckworm continue de cibler les organisations de sécurité en Ukraine

Les analystes de sécurité de Symantec, une partie de Broadcom, ont rapporté que le groupe de hackers financé par l’État russe Gamaredon, également connu sous le nom de Shuckworm, continue de cibler les organisations de sécurité en Ukraine, telles que les agences militaires et de sécurité, en utilisant un kit d’outils renouvelé et de nouvelles techniques d’infection.

Les analystes de sécurité mentionnent que les acteurs de la menace ont récemment commencé à utiliser des malwares USB pour se propager à plus de systèmes à l’intérieur du réseau compromis.

Auparavant, les hackers russes liés au FSB avaient été repérés utilisant des voleurs d’informations contre des organisations ukrainiennes et employant des variantes de leur propre malware Pterodo tout en utilisant des voleurs de modèles Word par défaut pour les nouvelles infections.

Maintenant, ce qui est encore plus intéressant dans la récente activité de Gamaredon, c’est qu’ils ciblent les départements des ressources humaines, ce qui indique probablement que les acteurs de la menace cherchent à mener des attaques de spear phishing au sein de l’organisation compromise.

Selon le rapport de l’analyste, l’activité du groupe de hackers russes a augmenté en février et mars, et Gamaredon a continué à faire sentir sa présence sur certaines des machines infectées jusqu’en mai 2023.

Le groupe de hackers soutenu par l’État russe s’appuie toujours sur des e-mails de phishing pour l’infection initiale. Bien que la cible des acteurs de la menace soit des organisations militaires et de sécurité, ils se concentrent également sur le département des ressources humaines de l’organisation.

Les e-mails de phishing des acteurs de la menace incluent des pièces jointes SFX, RAR, DOCX, LNK et HTA ; si la cible les ouvre, les pièces jointes lancent la commande PowerShell qui télécharge la charge utile Pterodo depuis le serveur C2 de l’acteur de la menace.

L’équipe de recherche sur les menaces, Symantec, mentionne qu’elle a testé vingt-cinq variantes des scripts PowerShell de janvier à avril de cette année, utilisant divers niveaux d’obfuscation et pointant vers différentes adresses IP téléchargées de Pterodo pour éviter les règles de détection statiques.

Lire : Le ransomware Royal utilise l’encryptor Blacksuit pour attaquer les entreprises

Eh bien, le PowerShell se copie sur l’appareil compromis et crée un fichier de raccourci en utilisant une extension rtk.lnk. Les LNK créés par les scripts prennent une large gamme de noms, et certains d’entre eux sont sélectionnés pour susciter l’intérêt de la cible comme,

Login_password. docx.Ink  
sectret.rtf.Ink  
weapons_lists.rtf.Ink  
my_photos.rtf.Ink  
compromising_evidence.rtf.Ink  
account_card.rtf.Ink  
pornophoto.rtf.Ink  
instructions.rtf.Ink  
bank_accounts.rtf.Ink

Lorsque la victime ouvre ces fichiers, le script PowerShell liste tous les lecteurs de l’ordinateur infecté et se copie sur des disques USB amovibles, ce qui augmente la probabilité de mouvement latéral au sein du réseau infecté.

En plus de cela, les analystes ont découvert un fichier foto.safe provenant de l’une des machines compromises par le groupe de hackers, le fichier contient un script PowerShell encodé en base64.

Maintenant, selon l’équipe de recherche sur les menaces, la machine a été compromise après qu’un lecteur USB infecté a été branché sur la machine. Cela dit, il est encore inconnu comment le lecteur USB a été infecté.

Symantec avertit et dit que les lecteurs USB sont probablement utilisés par les acteurs de la menace pour le mouvement latéral à travers le réseau de la cible et pourraient être utilisés pour aider les acteurs de la menace à accéder aux composants qui ne sont pas connectés au réseau au sein de l’organisation cible.

Lire : Le compromis d’Atomic Wallet entraîne des millions de cryptomonnaies volées