L’armée ukrainienne est-elle vraiment la cible d’une campagne d’hameçonnage ?
- , le 26 septembre 2023
- 0 h 02 min
Des entités militaires ukrainiennes sont la cible d’une campagne d’hameçonnage qui utilise des manuels de drones comme appâts pour fournir un kit d’outils de post-exploitation open-source basé sur Go, appelé Merlin.
« Depuis que les drones ou les véhicules aériens sans pilote (UAV) font partie intégrante des outils utilisés par l’armée ukrainienne, des fichiers-leurres contenant des logiciels malveillants, présentés comme des manuels d’entretien d’UAV, ont commencé à faire surface », expliquent Den Iuzvyk, Tim Peck et Oleg Kolesnikov, chercheurs chez Securonix, dans un rapport partagé avec The Hacker News.
La société de cybersécurité suit la campagne sous le nom de STARK#VORTEX.
Le point de départ de l’attaque est un fichier Compiled HTML Help (CHM) de Microsoft qui, lorsqu’il est ouvert, exécute un JavaScript malveillant intégré dans l’une des pages HTML afin d’exécuter un code PowerShell conçu pour contacter un serveur distant afin de récupérer un binaire obscurci.
La charge utile basée sur Windows est décodée pour extraire l’agent Merlin qui, à son tour, est configuré pour communiquer avec un serveur de commande et de contrôle (C2) pour des actions de post-exploitation, prenant ainsi le contrôle de l’hôte.
« Bien que la chaîne d’attaque soit assez simple, les attaquants ont eu recours à des TTP et à des méthodes d’obscurcissement assez complexes pour échapper à la détection », ont déclaré les chercheurs.
C’est la première fois que des organisations gouvernementales ukrainiennes sont visées par Merlin. Au début du mois d’août 2023, le Computer Emergency Response Team of Ukraine (CERT-UA) a révélé une chaîne d’attaque similaire qui utilise des fichiers CHM comme leurres pour infecter les ordinateurs avec des outils open-source. Le CERT-UA a attribué les intrusions à un acteur de menace qu’il surveille sous le nom de UAC-0154.
« Les fichiers et les documents utilisés dans la chaîne d’attaque sont très capables de contourner les défenses », expliquent les chercheurs. « En général, recevoir un fichier d’aide de Microsoft par Internet serait considéré comme inhabituel. Cependant, les attaquants ont piégé des documents qui apparaissent comme quelque chose qu’une victime peu méfiante pourrait s’attendre à voir apparaître dans un document ou un fichier d’aide. »
Ce développement survient quelques semaines après que le CERT UA a déclaré avoir détecté une cyberattaque infructueuse contre une infrastructure énergétique critique non nommée dans le pays, menée par une équipe parrainée par l’État russe et appelée APT28.
