Le groupe d’espionnage informatique Armageddon, suivi sous le nom de UAC-0010, attaque des entités gouvernementales de l’UE et de l’Ukraine

[post-views]
avril 06, 2022 · 4 min de lecture
Le groupe d’espionnage informatique Armageddon, suivi sous le nom de UAC-0010, attaque des entités gouvernementales de l’UE et de l’Ukraine

Mise à jour : Selon le dernier avertissement du 7 avril 2022, l’équipe d’intervention en cas d’urgence informatique de l’Ukraine (CERT-UA) a publié une alerte avec les détails de la plus récente attaque de phishing contre les organismes d’État ukrainiens, consécutive à la chaîne de destruction d’attaques identifiée il y a quelques jours par des comportements similaires.

Le 4 avril 2022, CERT-UA a lancé une alerte avertissant d’une campagne de spear-phishing en cours ciblant les entités gouvernementales de l’Ukraine impliquant la diffusion d’un e-mail avec une pièce jointe malveillante. Les chercheurs de CERT-UA estiment que le groupe de pirates suivi sous le nom de UAC-0010 également connu sous le nom d’Armageddon est derrière les attaques de spear-phishing contre des responsables du gouvernement ukrainien.

Le même jour, un autre avertissement de CERT-UA a été émis, avertissant de l’activité nouvellement détectée attribuée aux acteurs de la menace mentionnés ci-dessus. Cette fois, le groupe de pirates infâme Armageddon attaque des agences d’État européennes, les victimes étant compromises de la même manière par la livraison d’e-mails de phishing avec des pièces jointes malveillantes.

Activité de cyberespionnage Armageddon (UAC-0010) : Aperçu et analyse

Selon le Service de sécurité de l’Ukraine (SSU), Armageddon a été sous les projecteurs de la scène cyber depuis 2013-2014. Le groupe de cyberespionnage a été créé en tant que partie intégrante du Service fédéral de sécurité de la Fédération de Russie visant à réaliser des activités de cyber intelligence et de subversion ciblées contre les entités gouvernementales ukrainiennes afin de collecter des informations sensibles. Les acteurs de menace sont suivis sous le nom de Armageddon APT également connu sous le nom de Gamaredon APT, ce dernier nom de groupe dérivé d’une faute d’orthographe du mot « Armageddon ».

Les acteurs de la menace Armageddon ont exploité des TTP similaires pour compromettre un grand nombre d’utilisateurs, les campagnes de phishing étant l’une de leurs méthodes adverses les plus largement utilisées. Au cours de leur activité révélée, l’envoi massif d’e-mails à des victimes potentielles avec des pièces jointes malveillantes menant à la diffusion de multiples souches de logiciels malveillants a été le vecteur d’attaque principal du groupe, et les cyberattaques les plus récentes ne font pas exception. Le groupe Gamaredon applique des outils simples écrits en VBScript, VBA Script, C#, C++ et d’autres langages de programmation, en s’appuyant principalement sur des logiciels open-source dans les débuts de leur activité, tout en tendant progressivement à enrichir leur boîte à outils avec un certain nombre d’outils de cyberespionnage personnalisés, y compris Pterodo/Pteranodon et EvilGnome malware.

As CERT-UA a signalé que la dernière activité des acteurs de cyberespionnage ciblant les organismes d’État lettons impliquait l’envoi d’e-mails de phishing contenant des fichiers de raccourci malveillants dans des archives RAR. Dans les cyberattaques sur les entités gouvernementales ukrainiennes, les hackers Armageddon ont diffusé des appâts par e-mail avec des sujets couvrant des données sur les criminels de guerre liés à la Russie. Ces e-mails de phishing contiennent une pièce jointe HTM qui, une fois ouverte, génère une archive RAR avec un fichier LNK malveillant, qui exécute ensuite du code VBScript et infecte le système compromis.

Contenu basé sur le comportement Sigma pour détecter les cyberattaques par Armageddon (UAC-0010)

Les praticiens de la sécurité peuvent suivre la dernière activité du groupe de hackers Armageddon (UAC-0010) en utilisant un ensemble de règles de détection basées sur Sigma, préparées par l’équipe de SOC Prime :

https://tdm.socprime.com/expert/?tagsCustom[]=UAC-0010

Toutes les règles de détection mentionnées ci-dessus sont étiquetées comme #UAC-0010 pour faciliter la recherche de contenu lié à l’activité malveillante des acteurs de menace correspondants. Pour accéder à l’ensemble de règles et traquer les menaces, assurez-vous de vous inscrire ou de vous connecter à la plateforme SOC Prime’s Detection as Code .

Contexte MITRE ATT&CK®

Pour plonger dans le contexte des cyberattaques les plus récentes d’Armageddon/UAC-0010 ciblant les responsables gouvernementaux ukrainiens et de l’UE, toutes les détections basées sur Sigma dédiées sont mappées à la dernière version du cadre MITRE ATT&CK abordant les tactiques et techniques correspondantes :

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes