Logiciel malveillant de vol d’informations AgentTesla utilisé dans des cyber-attaques contre des entités gouvernementales ukrainiennes

En raison de la cyberguerre mondiale alimentée par l’invasion à grande échelle de l’Ukraine par la Russie, les attaques dans le domaine cybernétique contre les entités gouvernementales ukrainiennes sont en constante augmentation. Une semaine après la campagne de phishing par le groupe UAC-0056 livrant Cobalt Strike Beacon, une autre cyberattaque ciblant des responsables ukrainiens utilisant des logiciels malveillants pour voler des informations fait son apparition.  

Le 20 juillet 2022, CERT-UA a émis une alerte avertissant les défenseurs cybernétiques d’une cyberattaque en cours contre des entités gouvernementales ukrainiennes exploitant le sujet de la guerre et diffusant un RAT notoire surnommé AgentTesla (aussi écrit Agent Tesla). La chaîne d’infection est déclenchée par un fichier malveillant contenant une miniature leurre liée au Commandement Opérationnel Sud (OC South). À la suite de l’opération malveillante, les ordinateurs compromis peuvent être infectés par le logiciel malveillant AgentTesla. 

Qu’est-ce que le logiciel espion AgentTesla : Analyse de la dernière cyberattaque sur l’Ukraine

Tout au long de la cyberguerre en cours contre l’Ukraine, les adversaires ont déjà utilisé des souches de logiciels malveillants pour voler des informations, comme lors de la campagne malveillante d’avril 2022 distribuant le Cheval de Troie IcedID. Cette cyberattaque a été attribuée à l’activité adverse du collectif de piratage UAC-0041, qui a également été lié à la distribution du Cheval de Troie espion AgentTesla dans des opérations malveillantes antérieures contre l’Ukraine.

Selon l’ enquête CERT-UA, la dernière cyberattaque ciblant les institutions gouvernementales ukrainiennes implique également la livraison d’échantillons d’AgentTesla. Ce RAT infâme est apparu sur la scène des menaces cybernétiques en 2014 et depuis, il n’a cessé d’évoluer pour utiliser diverses techniques avancées afin d’échapper à la détection. AgentTesla est couramment livré via le vecteur d’attaque par phishing et est capable de voler des identifiants à partir de navigateurs Web et de plusieurs programmes logiciels tels que Microsoft Outlook. 

Dans la campagne adverse la plus récente, l’information-stealer AgentTesla a été livré via un fichier PPT activant une macro malveillante qui infecte ensuite le système ciblé. Le fichier PPT contient une miniature JPEG leurre liée au sujet de la guerre Russie-Ukraine, qui fait référence à l’OC South, une formation des Forces terrestres ukrainiennes dans la partie sud de l’Ukraine. Une fois ouvert et en activant une macro, celui-ci crée et lance à la fois un fichier de raccourci LNK et un fichier exécutable. Le fichier EXE est un programme basé sur .NET, qui applique l’outil d’obfuscation ConfuserEx, télécharge un fichier JPEG, décode et décompresse les données, et finit par exécuter l’information-stealer AgentTesla sur le système compromis.

Détecter l’activité malveillante couverte par l’alerte CERT-UA#4987

Pour aider les organisations à se protéger contre le logiciel espion AgentTesla distribué dans la plus récente cyberattaque sur les organismes de l’État ukrainien, la plateforme Detection as Code de SOC Prime propose un lot de règles Sigma qui peuvent être automatiquement converties en plusieurs formats SIEM, EDR et XDR. Pour une recherche de contenu simplifiée, toutes les règles Sigma sont étiquetées comme CERT-UA#4987 basées sur l’alerte CERT-UA correspondante. Pour accéder à cet ensemble de détection, veuillez vous inscrire ou vous connecter à la plateforme de SOC Prime, puis suivre le lien ci-dessous :

Règles Sigma pour détecter l’activité malveillante couverte par l’alerte CERT-UA#4987

Pour identifier en temps opportun les échantillons de logiciels malveillants AgentTesla dans l’environnement de l’organisation, accédez à la liste complète des algorithmes de détection en cliquant sur le bouton Détecter & Chasser . De plus, les professionnels de la cybersécurité peuvent parcourir SOC Prime pour explorer le dernier contexte des menaces lié au logiciel malveillant AgentTesla, y compris les références MITRE ATT&CK® et CTI ainsi qu’une liste de règles Sigma dédiées. Cliquez sur le bouton Explorer le contexte des menaces pour approfondir instantanément les informations complètes liées aux menaces.

Détecter & Chasser Explorer le contexte des menaces

Contexte MITRE ATT&CK®

Pour plonger dans le contexte de la dernière cyberattaque contre l’Ukraine couverte par l’alerte CERT-UA#4987, toutes les règles Sigma dédiées sont alignées avec le cadre MITRE ATT&CK adressant les tactiques et techniques correspondantes :