L’APT Armageddon Connu Sous le Nom de UAC-0010 Déploie le Malware d’Espionnage GammaLoad.PS1_v2 dans une Nouvelle Campagne de Phishing Contre l’Ukraine

Le collectif de hackers notoire, parrainé par l’État russe, Armageddon, récemment impliqué dans des attaques de phishing ciblant les entités étatiques ukrainiennes et européennes, continue ses activités malveillantes. Selon les dernières investigations de CERT-UA, les acteurs de la menace Armageddon également identifiés comme UAC-0010 ont été observés dans une autre cyberattaque contre l’Ukraine distribuant des emails de phishing et diffusant un logiciel malveillant appelé GammaLoad.PS1_v2.

APT Armageddon ciblant l’Ukraine par la livraison du malware GammaLoad.PS1_v2 : Analyse d’attaque

Selon le rapport du Service de sécurité de l’Ukraine (SSU), les acteurs de la menace Armageddon également suivis sous le nom de Gamaredon (par Eset, chercheurs de PaloAlto) ou Primitive Bear (par CrowdStrike) sont identifiés comme un groupe APT, qui a été créé comme une unité spéciale du Service fédéral de sécurité de la Russie pour mener des activités de renseignement et de subversion contre l’Ukraine sur le front cyber.

Lors de l’attaque du mois d’avril précédent, le groupe de cyberespionnage a exploité le malware GammaLoad.PS1 livré via des emails de phishing et déployé à travers une chaîne d’infection utilisant le code VBScript malveillant. Un mois plus tard, une autre campagne de phishing par l’APT Armageddon visant l’Ukraine applique la version mise à jour du malware identifiée comme GammaLoad.PS1_v2.

Le phishing reste le vecteur d’attaque préféré du groupe APT Armageddon lié à la Russie, la dernière campagne ne faisant pas exception. Cette fois, le groupe Armageddon a également choisi leur méthode d’adversaire commune en appliquant l’objet de l’email et les noms de fichiers comme appâts de phishing avec la pièce jointe malveillante déclenchant la chaîne d’infection. Basé sur la recherche CERT-UA, ces emails de phishing sont livrés avec une pièce jointe HTM qui, une fois ouverte, crée une archive RAR avec un fichier raccourci LNK, pouvant potentiellement conduire à l’exécution et au lancement d’un fichier HTA. Ce dernier génère et exécute deux fichiers qui déposent finalement GammaLoad.PS1_v2 sur l’ordinateur ciblé.

Règles Sigma pour détecter les cyberattaques de l’APT Armageddon

Pour aider les organisations à se défendre proactivement contre les cyberattaques de phishing par l’APT Armageddon (UAC-0010), SOC Prime propose un ensemble unique de règles Sigma dédiées, y compris des alertes et des requêtes, filtrées par un tag personnalisé approprié #UAC-0010 pour simplifier la recherche de contenu :

Règles Sigma pour détecter l’activité malveillante par le groupe Armageddon (UAC-0010)

Les ingénieurs en détection peuvent accéder à cette liste complète d’éléments de contenu sélectionnés après s’être connectés à la plateforme de SOC Prime avec leur compte existant et ensuite choisir les règles les plus pertinentes par cas d’utilisation, type de contenu, produit ou catégorie de source de journal, ID d’événement ainsi que d’autres sources de données adaptées à leurs besoins environnementaux.

Contexte MITRE ATT&CK®

Pour une analyse approfondie centrée sur les modèles de comportement des adversaires, toutes les règles Sigma pour détecter l’activité malveillante du collectif Armageddon/UAC-0010 sont alignées avec MITRE ATT&CK abordant les tactiques et techniques correspondantes :