Détection des attaques Storm-0978 : des hackers liés à la Russie exploitent CVE-2023-36884 pour propager une porte dérobée ciblant les organisations de défense et du secteur public
Table des matières :
Les chercheurs en cybersécurité ont dévoilé une nouvelle opération offensive lancée par le groupe Storm-0978 soutenu par la Russie, également connu sous le nom de DEV-0978, qui est également suivi sous le nom de RomCom basé sur le nom du néfaste cheval de Troie avec lequel ils sont associés. Dans cette campagne, les pirates ciblent les organisations de défense et les autorités publiques en Europe et en Amérique du Nord en utilisant le vecteur d’attaque par hameçonnage en exploitant une vulnérabilité RCE CVE-2023-36884 et les appâts liés au Congrès mondial ukrainien.
Détection des attaques Storm-0978
Avec le volume croissant d’opérations malveillantes attribuées au groupe de piratage Storm-0978 soutenu par la Russie, connu pour une série d’attaques contre l’Ukraine et ses alliés, les défenseurs recherchent des moyens de renforcer leur résilience cybernétique. Pour aider les organisations à détecter à temps la dernière campagne de hameçonnage liée à l’exploitation de la faille CVE-2023-36884, l’équipe SOC Prime organise une règle Sigma pertinente disponible via le lien ci-dessous :
Processus enfant MSOffice suspect (via cmdline)
Cette règle Sigma est adaptée pour plus de 20 solutions SIEM, EDR, XDR et Data Lake et est cartographiée avec MITRE ATT&CK en abordant les tactiques d’accès initial et d’exécution ainsi que les techniques de hameçonnage pertinentes (T1566) et d’exploitation pour l’exécution client (T1203).
Pour obtenir la liste complète des règles Sigma pour la détection des attaques Storm-0978, cliquez sur le Explorer les détections bouton ci-dessous. Pour simplifier la recherche de contenu de détection, toutes les règles Sigma pertinentes sont filtrées par les tags personnalisés “Storm-0978” ou “DEV-0978”. Obtenez des insights sur le contexte des menaces cybernétiques derrière les attaques du groupe, consultez nos références CTI et ATT&CK, explorez les atténuations et plongez dans des métadonnées plus exploitables pour réduire le temps de votre recherche de menaces.
Les cyber-défenseurs peuvent également atteindre l’ensemble du groupe de règles Sigma pour la détection de RomCom pour se défendre de manière proactive contre toute menace existante et émergente associée à ce malware et liée aux adversaires responsables de sa distribution.
Analyse des attaques Storm-0978 : activité de cyber-espionnage et de ransomware
L’équipe de recherche de Microsoft a découvert une nouvelle campagne de hameçonnage par le groupe Storm-0978 également connu sous le nom de DEV-0978 ciblant les organisations de défense et les entités du secteur public. Les acteurs de menace exploitent le jour zéro CVE-2023-36884 exploité à l’état sauvage, la vulnérabilité RCE dans Microsoft Windows et Office avec un score CVSS de 8,3, qui a été ajoutée au Correctif de juillet 2023 de Microsoft. Dans la dernière campagne de l’adversaire, les attaquants profitent des appâts liés au Congrès mondial ukrainien.
Storm-0978 est un groupe lié à la Russie qui a lancé plusieurs opérations de ransomware et campagnes malveillantes visant à recueillir des renseignements et à voler des données sensibles. Le collectif de pirates est également connu comme les développeurs et distributeurs du cheval de Troie RomCom. À l’automne 2022, les organismes d’État ukrainiens ont également été la cible d’une infection par le malware RomCom suite à une campagne de hameçonnage ciblé signalée par le CERT-UA. DEV-0978 est également suivi sous le nom de RomCom sur la base des souches malveillantes correspondantes dont ils sont à l’origine. Dans la dernière campagne de l’été 2023, l’exploitation de CVE-2023-36884 conduit à la propagation d’un cheval de Troie semblable à RomCom.
L’activité de Storm-0978 révèle principalement des motifs financiers et de cyber-espionnage derrière leurs opérations offensives avec différents secteurs industriels utilisés comme cibles principales. En ce qui concerne les campagnes liées à l’espionnage, les acteurs de la menace Storm-0978 sont observés cibler les organismes d’État et les organisations militaires en Ukraine ainsi que leurs alliés en abusant du vecteur d’attaque par hameçonnage et en exploitant les sujets politiques liés à l’Ukraine comme appâts. Tandis que l’activité de ransomware Storm-0978 est principalement ciblée sur le secteur des télécommunications et les entités financières.
Quant aux TTP des adversaires utilisés dans les attaques, le groupe utilise des versions trojanisées de logiciels légitimes pour déployer le malware RomCom et enregistre des domaines malveillants déguisés en utilitaires légitimes.
Les opérateurs de RomCom ont lancé un ensemble d’opérations de cyber-espionnage depuis la seconde moitié de 2022. Outre la dernière campagne de juin utilisant CVE-2023-36884, les acteurs Storm-0978 étaient également derrière une vague d’attaques de hameçonnage contre des responsables ukrainiens, ciblant spécifiquement les utilisateurs du système DELTA et diffusant les malwares FateGrab/StealDeal début 2022. Une autre campagne de l’adversaire a eu lieu à la mi-automne 2022 avec le groupe générant des sites Web d’installation frauduleux visant les organisations militaires et du secteur public ukrainiennes et diffusant RomCom pour obtenir des identifiants d’utilisateur.
Microsoft a publié une liste de mesures d’atténuation recommandées pour aider les organisations à remédier à la menace liée aux tentatives d’exploitation de CVE-2023-36884. Les entreprises utilisant Microsoft Defender pour Office ne seront pas impactées, cependant, d’autres clients pourraient faire face aux risques d’attaques potentielles. L’utilisation de la règle de réduction de la surface d’attaque qui empêche toutes les applications Office de générer des processus enfants entravera les tentatives d’exploitation de l’adversaire. Une autre étape d’atténuation qui peut être appliquée implique la configuration de la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.
Explorer la plateforme SOC Prime pour la défense cybernétique collective pour accéder au plus grand dépôt mondial de règles Sigma et équiper votre équipe avec Uncoder AI et Attack Detective pour accélérer et simplifier vos procédures d’ingénierie de la détection, identifier à temps les angles morts de votre infrastructure, et prioriser vos opérations de chasse pour une posture de cybersécurité à toute épreuve.
