Les Acteurs Malveillants Liés à la Russie APT28 (UAC-0028) Diffusent le Malware CredoMap_v2 lors d’une Attaque de Phishing en Ukraine
Table des matières :
Au cours d’une cyber-guerre en cours, des collectifs de pirates liés à la Russie cherchent de nouvelles façons de paralyser les organisations ukrainiennes dans le domaine cybernétique. Le 6 mai 2022, le CERT-UA a émis une alerte avertissant d’une nouvelle attaque de phishing ciblant les organismes d’État ukrainiens. L’attaque informatique a été attribuée à l’activité malveillante de fameux acteurs de menace parrainés par l’État russe, identifiés comme APT28 (alias Fancy Bear APT) également suivis sous le nom UAC-0028.
Analyse de l’attaque informatique APT28
La dernière attaque informatique impliquait une usurpation d’identité par email avec des acteurs de menace faisant passer leur message pour une mise en garde de sécurité du CERT-UA. Les adversaires visaient à tromper les victimes pour qu’elles ouvrent une archive RAR protégée par mot de passe, jointe au mail, déclenchant une chaîne d’infection. Une fois ouverte, celle-ci contenait un fichier SFX qui, à son tour, conduisait au déploiement d’un logiciel malveillant appelé CredoMap_v2, la version mise à jour d’un voleur d’informations. Le logiciel malveillant utilisé applique le protocole HTTP pour l’exfiltration de données, ce qui permet d’envoyer les identifiants volés à une ressource web déployée sur la plateforme open-source Pipedream.
Selon le Service d’État pour les communications spéciales et la protection de l’information de l’Ukraine (SSSCIP), le groupe de hackers APT28/UAC-0028 a également été repéré derrière une série de cyberattaques sur les infrastructures critiques de l’Ukraine en mars 2022.
Dans d’autres cyberattaques du groupe de hackers APT28, des acteurs de menace ont été observés ciblant des entités gouvernementales européennes et des institutions militaires. Ils ont appliqué des vecteurs d’attaque similaires, y compris des emails de phishing qui déposaient des souches de logiciels malveillants après avoir activé une macro malveillante. Plus tôt, les attaquants ont également été repérés dans une campagne d’espionnage informatique distribuant le tristement célèbre trojan Zebrocy et le malware Cannon via des emails utilisant le sujet tendance lié à la catastrophe du Lion Air Boeing 737 comme appât de phishing.
Pour minimiser les risques d’infection par des logiciels malveillants, le CERT-UA recommande vivement de surveiller de près les emails avec des pièces jointes protégées par mot de passe et ceux liés aux sujets d’actualité les plus récents pouvant servir d’appâts de phishing pour compromettre les victimes en ouvrant les fichiers à l’intérieur. Les organisations devraient appliquer des politiques de restriction logicielle permettant de bloquer les fichiers EXE via les paramètres et les mesures de sécurité du système d’exploitation correspondant.
Règles Sigma pour détecter les attaques APT28 (UAC-0028) utilisant le malware CredoMap_v2
Pour garantir une détection proactive de l’activité malveillante associée à APT28, y compris la dernière campagne CredoMap_v2, l’équipe de SOC Prime a développé un ensemble de règles Sigma dédiées :
Règles Sigma pour détecter l’activité malveillante de UAC-0028
Inscrivez-vous à la plateforme de détection en tant que code de SOC Prime pour obtenir tout le contenu lié à la récente campagne APT28 contre l’Ukraine ou effectuer une recherche personnalisée en utilisant un tag #UAC-0028 pour révéler d’autres détections liées.
Les ingénieurs en détection peuvent également facilement traquer les menaces associées à l’activité malveillante de UAC-0028 sous les projecteurs avec un module Quick Hunt dédié de la plateforme.
Contexte MITRE ATT&CK® : Attaque de phishing APT28
Pour un contexte approfondi derrière la plus récente cyberattaque de phishing par APT28/UAC-0028 ciblant l’Ukraine, les algorithmes de détection référencés ci-dessus sont alignés avec le cadre MITRE ATT&CK en abordant les tactiques et techniques appropriées :
