Google TAG détecte-t-il les acteurs de la menace soutenus par des États ?

La vulnérabilité en question est CVE-2023-38831 (score CVSS : 7.8), qui permet aux attaquants d’exécuter un code arbitraire lorsqu’un utilisateur tente de visualiser un fichier anodin dans une archive ZIP. Cette faille est activement exploitée depuis au moins avril 2023.

Le groupe d’analyse des menaces de Google (TAG), qui a détecté les activités au cours des dernières semaines, les a attribuées à trois groupes différents qu’il suit sous les noms géologiques de FROZENBARENTS (alias Sandworm), FROZENLAKE (alias APT28) et ISLANDDREAMS (alias APT40).

L’attaque de phishing liée à Sandworm s’est fait passer pour une école ukrainienne de formation à la guerre des drones début septembre et a distribué un fichier ZIP malveillant exploitant CVE-2023-38831 pour diffuser Rhadamanthys, un logiciel malveillant voleur de marchandises qui est proposé à la vente pour 250 dollars pour un abonnement mensuel.

APT28, également affilié à la Direction principale de l’état-major général des forces armées de la Fédération de Russie (GRU), comme c’est le cas pour Sandworm, aurait lancé une campagne de courriels ciblant des organisations gouvernementales en Ukraine. Dans ces attaques, les utilisateurs ukrainiens étaient invités à télécharger un fichier contenant un exploit CVE-2023-38831 – un document leurre qui se faisait passer pour une invitation à un événement du Centre Razumkov, un groupe de réflexion sur les politiques publiques dans le pays. Le résultat est l’exécution d’un script PowerShell nommé IRONJAW qui vole les données de connexion du navigateur et les répertoires d’état locaux et exporte les informations vers une infrastructure contrôlée par l’acteur sur le site webhook[.]. Le troisième acteur à exploiter le bogue WinRAR est APT40, qui a lancé une campagne de phishing ciblant la Papouasie-Nouvelle-Guinée dans laquelle les messages électroniques incluaient un lien Dropbox vers une archive ZIP contenant l’exploit CVE-2023-38831. La séquence d’infection a finalement ouvert la voie au déploiement d’un dropper nommé ISLANDSTAGER qui est responsable du chargement de BOXRAT, une porte dérobée .NET qui utilise l’API Dropbox pour la commande et le contrôle ». La divulgation s’appuie sur les récentes découvertes de Cluster25, qui a détaillé les attaques menées par l’équipe de pirates APT28 exploitant la faille WinRAR pour mener des opérations de collecte d’informations d’identification. D’après les conclusions de l’équipe Knownsec 404 et de NSFOCUS, d’autres adversaires parrainés par l’État se sont joints à la bataille : Konni (qui partage des points communs avec le groupe nord-coréen traqué sous le nom de Kimsuky) et Dark Pink (alias Saaiwc Group) ». « L’exploitation généralisée du bogue WinRAR montre que les exploits de vulnérabilités connues peuvent être très efficaces, même si un correctif est disponible », a déclaré Kate Morgan, chercheuse chez TAG, « même les attaquants les plus sophistiqués ne feront que ce qui est nécessaire pour atteindre leurs objectifs ». Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne de nouvelles, d’idées et de conseils en matière de cybersécurité.