Détection des attaques du groupe d’espionnage Shuckworm : Acteurs de menace soutenus par la Russie attaquent à plusieurs reprises les organisations militaires, de sécurité et gouvernementales ukrainiennes
Table des matières :
Depuis l’invasion à grande échelle de la Russie en Ukraine, les forces offensives de l’agresseur ont lancé une avalanche de campagnes de cyber-espionnage contre l’Ukraine et ses alliés, ciblant principalement les agences gouvernementales et utilisant fréquemment le vecteur d’attaque par hameçonnage. Le collectif de hackers infâme surnommé Shuckworm (Armageddon, Gamaredon), connu pour avoir des liens avec le FSB de la Russie, a été observé derrière une série d’attaques contre des organismes étatiques ukrainiens depuis au moins 2014, lançant principalement des opérations de cyber-intelligence ciblées axées sur la collecte de renseignements. Les chercheurs en cybersécurité ont récemment remarqué une recrudescence de l’activité malveillante du groupe, les organisations de services de sécurité, les agences militaires et gouvernementales étant les cibles principales actuelles.
Détecter les campagnes d’espionnage de Shuckworm
Les campagnes persistantes et concentrées de cyber-espionnage attribuées au collectif de hackers néfaste de la Russie connu sous le nom de Shuckworm captivent l’attention des défenseurs du cyberespace en raison de la menace grave qu’elles représentent pour de nombreuses organisations ukrainiennes, principalement dans le secteur public. L’expérimentation du groupe avec des intrusions de longue durée et le développement constant de leur arsenal d’adversaires nécessitent une vigilance constante de la part de la communauté mondiale des défenseurs du cyberespace pour être prêts à réagir en temps opportun aux menaces croissantes des opérations de cyber-espionnage de l’agresseur. La plateforme de défense cybernétique collective de SOC Prime organise un ensemble dédié de règles Sigma pour aider les organisations à se défendre proactivement contre les attaques de Shuckworm.
Toutes les règles Sigma sont filtrées par le tag personnalisé correspondant “Shuckworm” pour simplifier la recherche de contenu. Cliquez sur le Explore Detections bouton ci-dessous pour explorer l’ensemble de la collection de règles de détection pertinentes et les requêtes de chasse mappées au cadre MITRE ATT&CK® et automatiquement convertibles aux solutions SIEM, EDR et XDR de pointe de l’industrie. Pour une enquête sur les menaces rationalisée, explorez les liens ATT&CK, CTI, les binaires exécutables liés aux règles Sigma, et plus de métadonnées pertinentes.
Activité Shuckworm : Analyser les dernières attaques
Apparu pour la première fois en 2013, Shuckworm (également connu sous le nom de Gamaredon, Armageddon, Trident Ursa) est un acteur chevronné dans l’arène malveillante. Le collectif de hackers agit comme une partie intégrante du Service fédéral de sécurité de la fédération de Russie visant à effectuer des activités de cyber-intelligence et subversives ciblées contre l’Ukraine et ses alliés. CERT-UA surveille de près les opérations offensives du groupe Shuckworm suivi par les chercheurs de CERT-UA sous l’identifiant UAC-0010. Au cours de 2022-2023 Shuckworm est resté l’un des APT les plus intrusifs et concentrés ciblant les entités ukrainiennes sur le front cybernétique ainsi que tentant de perturber les infrastructures critiques dans les pays de l’OTAN.
Typiquement, le groupe Shuckworm s’appuie sur des campagnes de spear-phishing pour poursuivre ses activités de cyber-espionnage. Les acteurs malveillants appliquent des outils simples écrits en VBScript, VBA Script, C#, C++, et d’autres langages de programmation, exploitant principalement des logiciels open-source au début de leur activité tout en ayant progressivement tendance à enrichir leur arsenal avec un certain nombre d’outils de cyber-espionnage sur mesure, notamment Pterodo/Pteranodon, EvilGnome et plusieurs voleurs d’information tels que GammaLoad, GammaSteal et Giddome.
Depuis le déclenchement de la guerre à grande échelle en Ukraine, Shuckworm a considérablement intensifié ses activités malveillantes, avec le dernier pic observé en février-mars 2023. En plus des volumes accrus d’attaques, les adversaires de Shuckworm ont tendance à enrichir leur arsenal malveillant. L’ enquête par Symantec détaille que l’acteur APT change de voleurs d’information, voleurs de modèles Word par défaut, et différentes variantes de la porte dérobée Pteranodon vers un nouveau malware USB aidant les hackers à se propager à travers le réseau, infectant un plus large éventail d’instances.
Il convient de noter que lors de sa dernière campagne, les hackers de Shuckworm ont concentré spécifiquement leur attention sur les départements des ressources humaines du gouvernement ukrainien, militaire, de sécurité, et des organisations de recherche dans une tentative d’obtenir des informations sensibles sur les individus liés à ces entités.
Les intrusions dans la dernière campagne commencent généralement par un email de phishing contenant un fichier malveillant en pièce jointe. En cas d’ouverture, il déclenche une commande PowerShell qui, à son tour, télécharge la charge utile Pterodo depuis le serveur de l’attaquant. De plus, le script PowerShell énumère tous les disques sur le dispositif et se copie sur un disque USB amovible, augmentant les chances de propagation furtive et de mouvement latéral réussi à travers l’environnement compromis.
Les experts en sécurité notent que Shuckworm reste axé avec précision sur l’Ukraine et ses alliés, faisant progresser continuellement son arsenal malveillant pour mener des opérations de cyber-espionnage et destructrices. En coopérant directement avec CERT-UA et SSSCIP, l’équipe SOC Prime recherche, développe et teste les règles Sigma sur le champ de bataille réel, agrégeant des algorithmes de détection pertinents et encourageant la collaboration mondiale grâce à la plateforme de SOC Prime.
Comptez sur SOC Prime pour être entièrement équipé de contenu de détection contre toute TTP utilisée par les groupes APT dans leurs attaques. Accédez au flux d’informations de sécurité le plus rapide au monde, à une intelligence des menaces sur mesure, et au plus grand référentiel de plus de 10 000 règles Sigma triées sur le volet et continuellement enrichies de nouvelles idées de détection. Libérez le pouvoir de l’intelligence augmentée et de l’expertise collective de l’industrie pour équiper tout membre d’équipe de sécurité avec un outil ultime pour l’ingénierie de détection avancée. Identifiez les angles morts et aborder-les en temps opportun pour assurer une visibilité complète des menaces basée sur les journaux spécifiques à l’organisation sans déplacer de données vers le cloud. Inscrivez-vous à la plateforme SOC Prime maintenant et donnez à votre équipe de sécurité les meilleurs outils pour un avenir sûr.
