Détection des attaques de Fighting Ursa (alias APT28) : les adversaires ciblent des diplomates en utilisant une voiture à vendre comme appât de phishing pour propager le malware HeadLace
Table des matières :
L’État russe néfaste sponsorise le collectif de hackers APT28, également connu sous le nom de Fighting Ursa, se retrouve sous les projecteurs. Depuis le début du printemps 2024, les adversaires ciblent des diplomates dans le cadre d’une campagne offensive à long terme, en utilisant un véhicule à vendre comme appât de phishing pour diffuser le malware HeadLace.
Détecter les attaques de Fighting Ursa alias APT28 diffusant le malware HeadLace
L’infrastructure évolutive en continu de l’infâme collectif de hackers Fighting Ursa ou APT28 souligne la nécessité de renforcer les défenses des organisations pour obtenir un avantage concurrentiel face à l’augmentation des cyberattaques du groupe. La plateforme SOC Prime pour la défense cyber collective fournit un ensemble d’algorithmes de détection pour aider les équipes de sécurité à contrecarrer de manière proactive les attaques de Fighting Ursa, y compris la dernière campagne contre les diplomates diffusant le malware HeadLace.
Cliquez sur le Explorer les détections bouton ci-dessous pour accéder aux règles Sigma élaborées filtrées par le tag correspondant basé sur l’identifiant du groupe. Les algorithmes de détection fournis sont enrichis de renseignements sur les menaces pertinents, mappés au cadre MITRE ATT&CK®, et sont prêts à être convertis instantanément dans le format de langage SIEM, EDR ou Data Lake choisi parmi plus de 30 plateformes prises en charge.
Les ingénieurs en sécurité à la recherche de contenu de détection de haute qualité pour analyser rétroactivement les TTPs d’APT28 peuvent également suivre ce lien. Pour plus de contenu SOC connexe, les organisations peuvent rechercher sur le Marché de Détection des Menaces de SOC Prime en utilisant le tag “Forest Blizzard” basé sur un autre groupe identifié ou suivre ce lien.
Analyse des attaques de Fighting Ursa
Des chercheurs de Palo Alto ont récemment découvert une campagne malveillante en cours ciblant principalement les diplomates et attribuée au collectif de hackers lié à la Russie, suivi sous le nom de Fighting Ursa (également connu sous le nom de APT28, Fancy Bear, Forest Blizzard, STRONTIUM, Pawn Storm, ou Sofacy Group). Depuis au moins mars 2024, un groupe infâme soutenu par une nation annonce un véhicule à vendre comme appât de phishing pour diffuser un backdoor modulaire Windows connu sous le nom de HeadLace, qui opère par étapes, probablement pour éviter la détection et entraver l’analyse des malwares.
APT28, un groupe soutenu par le GRU associé à l’unité 26165 de l’agence de renseignement militaire russe, est observé sur la scène des menaces cyber depuis deux décennies. Depuis l’invasion à grande échelle de l’Ukraine par la Russie, le gang de hackers a également lancé une série de campagnes offensives exploitant le vecteur d’attaque par phishing, ciblant principalement les institutions de l’État ukrainien ainsi que les alliés du pays.
Notamment, les groupes de hackers russes ont employé des thèmes d’appât de phishing de voitures diplomatiques à vendre depuis des années. Ces appâts séduisent souvent les diplomates, les incitant à cliquer sur le contenu malveillant. En 2023, un autre collectif de hackers soutenu par la Russie connu sous le nom de APT29 (également connu sous le nom de NOBELIUM ou CozyBear) a utilisé une BMW à vendre comme appât de phishing ciblant les missions diplomatiques en Ukraine. Fighting Ursa est réputé pour réutiliser des stratégies adversaires réussies pour ses propres opérations offensives, affichant des comportements similaires dans la dernière campagne.
La chaîne d’infection est déclenchée par une fausse URL hébergée par le service légitime Webhook.site. Fighting Ursa a exploité Webhook.site pour créer une URL qui a livré une page HTML malveillante. L’HTML armé contient plusieurs éléments conçus pour automatiser l’attaque. Initialement, il vérifie si l’ordinateur visiteur fonctionne sous Windows. Si le système n’est pas basé sur Windows, il redirige l’utilisateur ciblé vers une image leurre hébergée sur ImgBB, spécifiquement une Audi Q7 Quattro SUV. L’annonce frauduleuse est intitulée “Voiture Diplomatique à Vendre.” Comme la charge utile finale cible Windows, ce contrôle de l’OS assure probablement que les actions subséquentes ne sont exécutées que pour les utilisateurs Windows. L’HTML génère ensuite une archive ZIP à partir d’un texte Base64 dans l’HTML, la propose en téléchargement et tente de l’ouvrir via JavaScript.
L’archive malveillante contient un exécutable Windows légitime de calculatrice déguisé en fichier image, une DLL, et un script batch. L’exécutable de la calculatrice charge en parallèle la DLL malveillante, partie du backdoor HeadLace, qui exécute le script batch. Ce dernier exécute une commande codée en Base64 pour récupérer un fichier d’une autre URL de Webhook.site, le sauvegarde sous forme de fichier image dans le dossier téléchargements, change l’extension du fichier en .cmd pour son exécution, puis le supprime pour éliminer toute trace.
Avec son infrastructure en constante évolution, l’utilisation de leurres divers et l’aptitude à réutiliser les tactiques adversaires, Fighting Ursa reste un acteur persistant dans le domaine des menaces cyber. La dépendance du groupe à des services web légitimes à des fins offensives encourage les défenseurs à restreindre l’accès à ces services et à examiner leur utilisation pour réduire la surface d’attaque. Comptez sur l’Attack Detective de SOC Prime pour maximiser la visibilité des menaces et combler efficacement les lacunes de couverture des détections, obtenir des cas d’utilisation SIEM prioritaires pour générer facilement des alertes à faible bruit et haute valeur, et offrir une capacité de chasse pouvant agir plus rapidement que les attaquants.
