Suivre 
Le phishing reste l’une des tactiques les plus efficaces dans le manuel des cybercriminels, notamment lorsque les attaquants exploitent des thèmes humanitaires urgents, des ressources en ligne de confiance et des outils système légitimes pour accroître l’engagement des victimes. Europol note également que le phishing continue de servir de vecteur de livraison principal pour les logiciels malveillants dérobeurs de données. Ce schéma est clairement reflété dans la dernière activité suivie par CERT-UA, où des acteurs menaçants ont utilisé des appâts sur le thème de l’aide humanitaire et une livraison de logiciels malveillants en plusieurs étapes pour cibler des organisations ukrainiennes.
Dans un article de CERT-UA, des chercheurs ont décrit une campagne UAC-0247 ciblant les collectivités locales, les institutions de santé communal, et probablement des représentants des forces de défense ukrainiennes. L’opération a finalement déployé AGINGFLY et des outils malveillants connexes, combinant phishing, livraison web trompeuse et abus d’utilitaires Windows légitimes pour établir un accès et soutenir un compromis ultérieur.
Les derniers rapports de CERT-UA soulignent une autre vague d’intrusions dues au phishing ciblant les secteurs civils de l’Ukraine et potentiellement ceux adjacents à la défense. Dans la campagne décrite dans l’ article, les attaquants ont utilisé des courriels sur le thème de l’aide humanitaire pour inciter les victimes à ouvrir du contenu malveillant qui a finalement déployé AGINGFLY, une famille de logiciels malveillants associée à l’accès à distance, au vol d’identifiants et à des activités post-compromission ultérieures. Les cibles observées comprenaient des collectivités locales, des institutions de santé communal, y compris des hôpitaux cliniques et d’urgence, et probablement des individus liés à des opérations de drones FPV.
Inscrivez-vous à la plateforme SOC Prime pour défendre votre organisation de manière proactive contre les attaques UAC-0247. Il suffit d’appuyer sur Explorer les Détections ci-dessous pour accéder à une pile de règles de détection pertinente, enrichie d’AI-native CTI, cartographiée selon le cadre MITRE ATT&CK® et compatible avec une large gamme de technologies SIEM, EDR et Data Lake.
Les équipes de sécurité peuvent rechercher dans le Threat Detection Marketplace en utilisant le tag “UAC-0247” pour identifier les détections pertinentes et surveiller les mises à jour de contenu liées. Les défenseurs du cyberespace peuvent également s’appuyer sur Uncoder AI pour convertir les renseignements sur les menaces brutes en requêtes optimisées pour la performance, documenter et améliorer la logique des règles, et générer des Attack Flows basés sur les derniers rapports de CERT-UA.
Analyse des attaques UAC-0247 livrant AGINGFLY via des appâts de phishing sur le thème humanitaire
Selon CERT-UA, la chaîne d’attaque a commencé par des courriels de phishing déguisés en propositions d’aide humanitaire. Les victimes étaient invitées à cliquer sur un lien redirigeant soit vers un site web légitime compromis par script intersites (XSS), soit vers un faux site web généré avec des outils d’IA. Dans les deux scénarios, l’objectif était de persuader la victime de télécharger et d’ouvrir une archive contenant un fichier LNK malveillant.
Une fois lancé, le fichier de raccourci abusait de mshta.exe pour récupérer et exécuter un fichier HTA distant. Le HTA affichait un formulaire leurre pour distraire la victime tout en téléchargeant simultanément un exécutable qui injectait du shellcode dans un processus légitime, tel que RuntimeBroker.exe. CERT-UA a également noté que des étapes plus récentes de la campagne s’appuyaient sur un chargeur en deux étapes, la deuxième étape utilisant un format exécutable propriétaire et la charge utile finale étant compressée et chiffrée pour compliquer la détection et l’analyse.
Parmi les composants de l’étape suivante identifiés dans la campagne figuraient RAVENSHELL, qui agissait comme un stager de type reverse-shell, SILENTLOOP, un outil basé sur PowerShell capable d’exécuter des commandes et d’obtenir des données de commande et de contrôle, et AGINGFLY, la principale famille de logiciels malveillants utilisée dans l’opération. Les rapports liés à CERT-UA indiquent qu’AGINGFLY est conçu pour le contrôle à distance, le vol de données et l’activité de compromis ultérieure.
La campagne a également favorisé le vol d’identifiants, la reconnaissance et le déplacement latéral. Les enquêteurs ont observé l’utilisation d’outils pour extraire des données de navigateurs basés sur Chromium, accéder à des données liées à la messagerie, scanner des réseaux internes et canaliser le trafic à travers des environnements compromis. Dans l’un des cas enquêtés, des preuves médico-légales ont suggéré que des représentants des forces de défense de l’Ukraine ont pu être ciblés via des archives ZIP malveillantes distribuées via Signal et conçues pour déployer AGINGFLY par chargement latéral de DLL.
Pour réduire l’exposition à cette activité, CERT-UA recommande de restreindre l’exécution de types de fichiers à risque comme LNK, HTA et JS, tout en limitant ou surveillant de près l’utilisation des outils Windows natifs souvent abusés dans la chaîne d’infection, y compris mshta.exe, powershell.exe, et wscript.exe.
Contexte MITRE ATT&CK
Exploiter MITRE ATT&CK aide à contextualiser la dernière activité UAC-0247. Sur la base des TTP signalés, les techniques les plus pertinentes incluent probablement le Phishing : Spearphishing Link (T1566.002), l’interpréteur de commandes et de scripts, l’injection de processus (T1055), les protocoles web / WebSockets pour C2, l’accès aux identifiants et le déplacement latéral via des outils de tunneling et de proxy. Cette cartographie reflète les appâts de phishing, la livraison web trompeuse, l’exécution de LNK vers HTA, l’injection de shellcode, le déploiement d’AGINGFLY et le vol d’identifiants ainsi que la reconnaissance interne suite à l’intrusion.
