Les adversaires utilisent des PDF armés déguisés en appâts de l’ambassade d’Allemagne pour diffuser une variante de malware Duke dans des attaques contre les ministères des Affaires étrangères des pays alliés de l’OTAN
Table des matières :
Les chercheurs en cybersécurité ont observé une nouvelle campagne malveillante ciblant les Ministères des Affaires Étrangères des pays liés à l’OTAN. Les adversaires distribuent des documents PDF utilisés comme appâts et faisant passer l’expéditeur pour l’ambassade d’Allemagne. L’un des fichiers PDF contient le malware Duke attribué au collectif de hackers russes soutenu par l’État, suivi sous le nom de APT29 alias NOBELIUM, Cozy Bear, ou The Dukes.
Détecter les attaques utilisant des PDF armés pour propager une variante du malware Duke via le chargement latéral de DLL
L’APT29 étant une unité de hacking secrète du Service de renseignement extérieur russe (SVR) agissant en faveur des intérêts géopolitiques de Moscou, la dernière campagne malveillante visant les pays de l’OTAN pourrait être une partie d’actions offensives contre les alliés ukrainiens.
En coopérant avec le CERT-UA et le SSSCIP, la recherche de SOC Prime, développe et teste des règles Sigma sur le véritable champ de bataille, livrant des centaines de nouvelles informations de détection par mois pour aider à contrecarrer les attaques destructrices de la Russie. Pour aider les défenseurs cybernétiques à identifier la dernière cyberattaque de l’APT29, la plateforme SOC Prime propose une règle Sigma dédiée visant à détecter les tentatives de chargement latéral d’une bibliothèque dynamique MSO légitimement nommée afin de réaliser des activités malveillantes.
Tentative possible de chargement latéral de la bibliothèque dynamique MSO (via image_load)
La règle est compatible avec 20 formats technologiques SIEM, EDR, XDR et Data Lake et est mappée à MITRE ATT&CK®, traitant des tactiques d’évasion de défense et du détournement du flux d’exécution (T1574) en tant que technique correspondante.
Pour plonger dans l’ensemble complet des algorithmes de détection traitant des TTP de l’APT29, cliquez sur le bouton Explore Detections ci-dessous. Pour une enquête sur les menaces optimisée, les équipes peuvent également explorer des métadonnées pertinentes, y compris les références ATT&CK et CTI.
Analyse des attaques utilisant des PDF armés avec la dissimulation HTML et la propagation du malware Duke
Les chercheurs d’EclecticIQ ont observé une opération offensive en cours contre les Ministères des Affaires Étrangères des pays de l’OTAN, dans laquelle les adversaires exploitent des fichiers PDF malveillants avec des invitations leurres se faisant passer pour l’ambassade d’Allemagne. L’un des fichiers PDF armés contient la variante du malware Duke précédemment liée au groupe russe infâme soutenu par l’État connu sous le nom de APT29. Le groupe est derrière une série d’attaques de cyber-espionnage et est soutenu par le Service de renseignement extérieur de la Russie tout en utilisant un outil sophistiqué d’adversaire pour mener ses opérations offensives.
Dans la campagne d’adversaires en cours, les acteurs de la menace utilisent des serveurs Zulip pour le C2, leur permettant de se mêler au trafic web légitime et d’éviter la détection. Sur la base des modèles de comportement des adversaires, des fichiers leurres, du malware appliqué et de ses moyens de livraison, les chercheurs associent la campagne malveillante observée à l’activité de l’APT29.
La chaîne d’infection est déclenchée par l’exécution des fichiers leurres PDF malveillants avec du code JavaScript intégré visant à déposer des charges utiles au format de fichier HTML sur les dispositifs compromis. En utilisant la dissimulation HTML, les attaquants livrent une archive avec un fichier d’application HTML malveillant (HTA), considéré comme un LOLBIN populaire. Ce dernier est destiné à déposer l’échantillon de malware Duke sur les systèmes impactés.
Le lancement du fichier HTA conduit à la propagation de trois fichiers exécutables dans le répertoire spécifique du système compromis. L’un de ces fichiers est la variante du malware Duke exécutée via le chargement latéral de DLL. Le malware applique le hachage de l’API Windows comme technique d’évasion, permettant aux adversaires de contourner les scanners de malware statiques.
En tant que mesures d’atténuation potentielles, les défenseurs recommandent de configurer des mécanismes de protection réseau appropriés pour bloquer le trafic réseau suspect, d’appliquer des politiques de liste blanche sur les hôtes Windows pour empêcher l’exécution de LOLBIN spécifiques pouvant être exploités par des attaquants, d’augmenter la sensibilisation à la cybersécurité et de mettre en œuvre continuellement les meilleures pratiques de sécurité de l’industrie pour renforcer la résilience cybernétique.
Comptez sur la puissance de l’intelligence augmentée et de l’expertise collective de l’industrie avec Uncoder AI pour créer sans effort des algorithmes de détection contre les menaces émergentes, les convertir instantanément dans 44 formats SIEM, EDR, XDR et Data Lake, et partager votre code avec des pairs de l’industrie pour favoriser une défense active informée par les menaces.
