Opération Rusty Flag : L’Azerbaïdjan est-il la cible d’une nouvelle campagne de logiciels malveillants basés sur Rust ?
- , le 20 septembre 2023
- 1 h 05 min
Des cibles situées en Azerbaïdjan ont été choisies dans le cadre d’une nouvelle campagne visant à déployer des logiciels malveillants de type Rust sur les systèmes compromis
La société de cybersécurité Deep Instinct suit cette opération sous le nom d’Operation Rusty Flag. Elle n’a été associée à aucun acteur ou groupe de menace connu.
« L’opération dispose d’au moins deux vecteurs d’accès initiaux différents », ont déclaré les chercheurs en sécurité Simon Kenin, Ron Ben Yizhak et Mark Vaitzman dans une analyse publiée la semaine dernière. « L’un des appâts utilisés dans l’opération est un document modifié qui a été utilisé par le groupe Storm-0978. Il pourrait s’agir d’un ‘false flag’ délibéré ».
La chaîne d’attaque utilise un fichier LNK nommé 1.KARABAKH.jpg.lnk comme point de départ pour récupérer une charge utile de deuxième niveau, un programme d’installation MSI, hébergé sur Dropbox.
Le fichier d’installation, quant à lui, dépose un implant écrit en Rust, un fichier XML pour une tâche programmée afin d’exécuter l’implant, et un fichier image leurre qui comporte en filigrane le symbole du ministère de la Défense de l’Azerbaïdjan.
Un autre vecteur d’infection est un document Microsoft Office nommé » Overview_of_UWCs_UkraineInNATO_campaign.docx « , qui exploite CVE-2017-11882, une vulnérabilité de corruption de mémoire vieille de six ans dans l’éditeur d’équations de Microsoft Office, pour invoquer une URL Dropbox hébergeant un fichier MSI différent servant une variante de la même porte dérobée Rust.
L’utilisation de Overview_of_UWCs_UkraineInNATO_campaign.docx est remarquable, car un leurre portant le même nom de fichier a été utilisé par Storm-0978 (alias RomCom, Tropical Scorpius, UNC2596 et Void Rabisu) dans de récentes cyberattaques visant l’Ukraine et exploitant une faille d’exécution de code à distance dans Office (CVE-2023-36884).
« Cette action ressemble à une tentative délibérée de faux drapeau visant à imputer cette attaque à Storm-0978 », ont déclaré les chercheurs.
La porte dérobée Rust, dont l’une se fait passer pour « WinDefenderHealth.exe », est dotée de capacités permettant de recueillir des informations sur l’hôte compromis et de les envoyer à un serveur contrôlé par l’attaquant.
Les objectifs exacts de la campagne ne sont pas encore clairs. Par ailleurs, la possibilité qu’il s’agisse d’un exercice de l’équipe rouge n’a pas été écartée. « Rust devient de plus en plus populaire parmi les auteurs de logiciels malveillants », ont déclaré les chercheurs, « les produits de sécurité ne détectent pas encore les logiciels malveillants Rust avec précision et le processus d’ingénierie inverse est plus complexe ».
