Une campagne de cyberespionnage ciblant des organisations dans les régions ukrainiennes occupées par la Russie utilise de nouveaux logiciels malveillants pour voler des données, selon Kaspersky, fournisseur de logiciels infosec basé en Russie.
Dans un rapport publié mardi, les chercheurs de Kaspersky ont détaillé les infections, qui utilisent une porte dérobée basée sur PowerShell qu’ils ont nommée “PowerMagic” et un framework auparavant inconnu appelé “CommonMagic” qui peut voler des fichiers à partir de périphériques USB, prendre des captures d’écran toutes les trois secondes et envoyer tout ces données à l’attaquant.
Kaspersky affirme que les cyber-espions, qui sont actifs depuis au moins septembre 2021, ne partagent pas d’infrastructure, de code ou d’autres liens directs avec des groupes de menaces persistantes avancées (APT) connus. Cependant, les victimes – des organisations administratives, agricoles et de transport situées dans les régions de Donetsk, Lougansk et de Crimée – et les leurres de phishing suggèrent que cette campagne est liée à l’invasion russe illégale de l’Ukraine.
“La géopolitique affecte toujours le paysage des cybermenaces et conduit à l’émergence de nouvelles menaces”, a expliqué Leonid Besverzhenko, chercheur en sécurité au sein de l’équipe mondiale de recherche et d’analyse de Kaspersky. déclaration. “Nous surveillons depuis un certain temps les activités liées au conflit entre la Russie et l’Ukraine, et c’est l’une de nos dernières découvertes.”
Alors que les logiciels malveillants et les techniques utilisées par les acteurs de la menace “ne sont pas particulièrement sophistiqués”, l’utilisation du stockage en nuage pour l’infrastructure de commande et de contrôle est remarquable, a ajouté Besverzhenko.
“Nous poursuivrons notre enquête et nous espérons pouvoir partager plus d’informations sur cette campagne”, a-t-il déclaré.
L’équipe de recherche a repéré l’infection pour la première fois en octobre 2022 et soupçonne qu’elle commence par un e-mail de harponnage dirigeant la victime vers une URL pointant vers une archive .zip sur un serveur Web malveillant.
L’archive contient deux fichiers. Le premier est un document leurre, conçu pour tromper la victime en lui faisant croire que le contenu est légitime en utilisant des sujets et des titres régionaux. Il y a une capture d’écran dans les recherches de Kaspersky montrant l’un de ces faux documents Word, intitulé “Résultats des élections à la Douma d’État en République de Crimée”.
Le second est le méchant : un fichier .lnk malveillant qui, lorsqu’il est ouvert, infecte l’appareil de la victime avec la porte dérobée PowerMagic.
La porte dérobée communique avec un serveur de commande et de contrôle basé sur un stockage en nuage public, exécutant des commandes à partir du serveur sur la machine infectée et téléchargeant les résultats dans le nuage.
Il utilise les dossiers OneDrive et Dropbox comme transport et les jetons d’actualisation OAuth comme informations d’identification, selon Kaspersky.
Les chercheurs suggèrent que PowerMagic déploie également un cadre modulaire appelé CommonMagic. Jusqu’à présent, ils ont découvert deux plugins malveillants exécutés par le framework. Un – S[.]exe – prend des captures d’écran toutes les trois secondes à l’aide de l’API GDI, et l’autre – U[.]exe – vole les fichiers des périphériques USB connectés.
Selon les chercheurs, “la campagne est toujours active et notre enquête se poursuit”. Ils pensent que “d’autres découvertes pourraient révéler des informations supplémentaires sur ce logiciel malveillant et l’acteur menaçant qui le sous-tend”. ®
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/irishtimes/JWUFXT6XEJNKHEQOTLBQE6XG3U.jpg?fit=300%2C300&ssl=1)
