Détection des Attaques Gamaredon : Opérations de Cyber-espionnage Contre l’Ukraine par l’APT Liée à la Russie
Table des matières :
Le groupe néfaste soutenu par l’État et aligné avec la Russie Gamaredon (alias Hive0051, UAC-0010 ou Armageddon APT) lance une série de campagnes de cyber-espionnage contre l’Ukraine depuis 2014, avec des cyberattaques s’intensifiant depuis l’invasion à grande échelle de l’Ukraine par la Russie le 24 février 2022.
ESET a récemment publié une analyse technique détaillée, fournissant des idées sur les opérations de cyber-espionnage de Gamaredon contre l’Ukraine tout au long de 2022 et 2023. Malgré le conflit croissant depuis 2022, l’activité de Gamaredon est restée constante, le groupe déployant régulièrement ses outils malveillants et restant le collectif de hackers le plus actif dans le paysage de la menace cybernétique ukrainienne.
Détecter les attaques APT de Gamaredon
Les notoirement groupes de hackers affiliés à la Russie continuent de présenter des défis significatifs aux défenseurs de la cybersécurité, faisant constamment évoluer leurs tactiques, techniques et procédures (TTPs) pour améliorer l’évasion de la détection. Depuis le début de la guerre à grande échelle en Ukraine, ces groupes APT ont intensifié leurs activités, utilisant le conflit comme terrain de test pour des stratégies malveillantes innovantes. Ces méthodes récemment affinées sont ensuite déployées contre des cibles mondiales de haute priorité alignées avec les intérêts stratégiques de Moscou, amplifiant la menace cybernétique à l’échelle mondiale. Cette activité incessante oblige les professionnels de la sécurité à chercher du contenu de détection fiable et des outils avancés de détection et d’analyse des menaces pour garder une longueur d’avance sur les adversaires en évolution.
Pour repérer les attaques APT de Gamaredon soutenues par la Russie aux premiers stades, les professionnels de la sécurité pourraient compter sur la plateforme SOC Prime pour la défense cybernétique collective, fournissant un ensemble de règles Sigma dédiées associées à une suite complète de produits pour la détection avancée des menaces, la chasse automatisée et l’ingénierie de détection alimentée par l’IA. Cliquez simplement sur Explorez les détections bouton ci-dessous pour accéder immédiatement à une pile de détection organisée disponible sur la plateforme SOC Prime.
Les règles sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake et sont mappées sur le cadre MITRE ATT&CK®. De plus, les détections sont enrichies avec de vastes métadonnées, y compris les renseignements sur la menace les références, les chronologies des attaques et les recommandations de triage, aidant à lisser les enquêtes sur les menaces.
Les défenseurs cybernétiques cherchant plus de contenu de détection traitant des TTPs de Gamaredon pour analyser l’activité du groupe de façon rétrospective pourraient parcourir le Marché de Détection des Menaces en utilisant les balises suivantes : “UAC-0010,” “Gamaredon,” “Hive0051,” “ACTINIUM,” “Primitive Bear,” “Groupe Armageddon,” “Aqua Blizzard,” “WINTERFLOUNDER,” “UNC530,” “Shuckworm.”
Analyse des attaques APT de Gamaredon : Basée sur les dernières recherches d’ESET
Le groupe de cyber-espionnage soutenu par la Russie suivi sous le nom de Gamaredon, également connu sous le nom Armageddon APT (Hive0051 ou UAC-0010), a activement lancé des attaques de haut profil contre l’Ukraine depuis le déclenchement de la cyberguerre mondiale. En 2022, Gamaredon était derrière une série de campagnes de phishing contre l’Ukraine, utilisant diverses versions de GammaLoad, y compris GammaLoad.PS1, qui était délivré par script malveillant VBScript et une version mise à jour identifiée comme GammaLoad.PS1_v2.
Dans la dernière recherche d’ESET et un livre blancplus détaillé, les défenseurs explorent les techniques d’obfuscation évolutives de Gamaredon et les méthodes pour échapper au blocage basé sur le domaine, ce qui complique les efforts de suivi et de détection, ainsi que les outils adverses les plus couramment appliqués par le collectif de piratage pour cibler l’Ukraine.
The Le Service de sécurité de l’Ukraine (SSU) a lié Gamaredon au Service fédéral de sécurité de la Russie, basé en Crimée occupée. Selon ESET, le groupe APT soutenu par la Russie a des liens avec un autre collectif de piratage suivi sous le nom InvisiMole.
La télémetrie ESET, CERT-UA et d’autres autorités ukrainiennes montrent que la plupart des attaques de Gamaredon ciblent les agences gouvernementales ukrainiennes. Cependant, le groupe a également déplacé son focus au-delà de l’Ukraine. Par exemple, à la fin septembre 2022, les acteurs de la menace ont tenté de pénétrer une grande entreprise de raffinage de pétrole dans un pays membre de l’OTAN, intensifiant les tensions sur le plan cybernétique.
Gamaredon utilise des campagnes de spearphishing pour infecter de nouvelles victimes, exploitant son malware personnalisé pour armer les documents Word et les clés USB accessibles à la victime initiale, qui sont susceptibles d’être partagées avec d’autres. Contrairement à la plupart des groupes APT, Gamaredon ne privilégie pas la furtivité lors de ses opérations de cyberespionnage. Les adversaires opèrent sans retenue, cependant, ils mettent un effort significatif dans l’évasion des produits de sécurité et le maintien de l’accès aux systèmes compromis.
Pour conserver l’accès, Gamaredon déploie souvent plusieurs téléchargeurs ou portes dérobées simples à la fois. Malgré le manque de sophistication de leurs outils, les mises à jour fréquentes et les changements régulier d’obfuscation les aident à rester sous le radar.
L’ensemble d’outils offensifs de Gamaredon a évolué de manière significative. En 2022, le groupe est passé de l’utilisation des archives SFX à la dépendance sur VBScript et PowerShell. D’ici 2023, ils avaient amélioré leurs capacités de cyberespionnage, développant de nouveaux outils PowerShell destinés à voler des données sensibles des applications web, des clients de messagerie et des applications de messagerie comme Signal et Telegram.
À la fin de l’été 2023, les chercheurs d’ESET ont découvert PteroBleed, un voleur d’informations ciblant un système militaire ukrainien et un service de webmail utilisé par un organisme d’État ukrainien. Les outils de Gamaredon, catégorisés en téléchargeurs, goutteurs, armures, voleurs, portes dérobées et utilitaires spécialisés, sont utilisés pour livrer des charges utiles, modifier des fichiers, exfiltrer des données et maintenir un accès à distance.
Gamaredon utilise couramment le DNS fast flux pour changer fréquemment les adresses IP de ses serveurs C2 et contourner le blocage basé sur IP. Le groupe enregistre et met également à jour régulièrement de nombreux nouveaux domaines C2, utilisant principalement le TLD .ru, pour échapper au blocage basé sur le domaine.
Les adversaires contournent en outre les détections basées sur le réseau en utilisant des services tiers comme Telegram, Cloudflare et ngrok. Malgré la simplicité relative de leurs outils, les tactiques agressives et la persistance du groupe posent une menace significative pour les victimes potentielles, ce qui nécessite une ultra-réactivité de la part des défenseurs. Exploitez la suite complète de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée et la détection avancée des menaces pour anticiper les cyberattaques de toute sophistication et pérenniser le posture de sécurité de l’organisation.
