Une analyse récente des sociétés de cybersécurité Symantec et Carbon Black révèle que des acteurs malveillants liés à la Russie ont mené des campagnes sophistiquées contre des entités ukrainiennes en s’appuyant sur des techniques de vie hors de la terre et un minimum de logiciels malveillants. Selon les conclusions, ces opérations ont ciblé une grande organisation de services aux entreprises pendant deux mois et un organisme gouvernemental local pendant une semaine.
Les attaques ont commencé par le déploiement de web shells sur des serveurs publics au sein du réseau de l’entreprise, probablement après l’exploitation d’une ou plusieurs vulnérabilités non corrigées. Une fois l’accès établi, les attaquants ont utilisé des outils natifs tels que PowerShell pour échapper à la détection, en mettant en place des tâches planifiées et en créant des vidages de mémoire toutes les trente minutes.
Parmi les outils utilisés par les intrus figurait « LocalOlive », un web-shell précédemment attribué à un sous-groupe de l’équipe Sandworm liée à la Russie dans ce qui est connu sous le nom de campagne BadPilot. Malgré ce lien, les chercheurs n’ont pas encore trouvé de preuve définitive que la campagne fait partie des activités de Sandworm.
Les attaquants ont également exécuté des commandes pour répertorier les processus en cours d’exécution commençant par « kee », ce qui suggère qu’ils ciblaient probablement le coffre-fort du gestionnaire de mots de passe KeePass. Ils ont ensuite installé des logiciels tels qu’OpenSSH, modifié les règles de trafic réseau, créé des tâches planifiées pour les portes dérobées et introduit un outil de gestion de routeur légitime nommé « winbox64.exe » afin de masquer les activités malveillantes.
Cette opération s’inscrit dans un schéma plus large de cybercriminalité d’origine russe, où les acteurs de la menace utilisent une empreinte minimale et s’appuient fortement sur des outils système légitimes plutôt que sur des logiciels malveillants évidents. L’objectif semble être l’accès persistant et le vol de données plutôt que l’interruption immédiate. Les chercheurs décrivent comment les attaquants peuvent tirer parti d’une connaissance approfondie de l’écosystème Windows pour s’introduire, se déplacer latéralement, voler des informations d’identification et éviter d’être détectés pendant de longues périodes.
Le rapport note que l’un des principaux défis à relever pour répondre à de telles attaques est l’utilisation d’utilitaires natifs plutôt que de binaires d’exploitation personnalisés. Lorsque les opérations sont exécutées à l’aide d’outils déjà présents dans l’environnement, elles peuvent contourner de nombreuses solutions de sécurité des terminaux traditionnelles qui se concentrent sur la détection des menaces externes ou des logiciels malveillants connus.
Bien que l’analyse n’ait pas permis d’identifier avec certitude un acteur criminel ou un groupe de menace spécifique, les preuves suggèrent qu’une organisation basée en Russie, ou du moins une organisation opérant dans cette région, est probablement à l’origine de la campagne. Les experts préviennent qu’à mesure que la pression des forces de l’ordre et du renseignement augmente, ces acteurs de la menace fonctionnent de plus en plus comme des entreprises, utilisant des outils à double usage et adoptant des empreintes minimales pour rester en dessous des seuils de détection.
Pour les organisations opérant en Ukraine et au-delà, l’incident souligne l’importance de surveiller l’utilisation des outils natifs, d’examiner les tâches planifiées et d’auditer les protocoles d’accès à distance. Les équipes de défense doivent supposer que les attaquants se trouvent peut-être déjà à l’intérieur de leurs réseaux, utilisant des outils système légitimes pour échantillonner les données et se déplacer discrètement. La mise en œuvre d’une gestion rapide des vulnérabilités, d’une surveillance comportementale et d’une journalisation améliorée est essentielle pour prévenir ou détecter ces campagnes discrètes.
Ces résultats interviennent alors que le paysage des cybermenaces évolue, avec un chevauchement croissant entre les opérations des États-nations et le crime organisé. Bien que cette campagne particulière semble axée sur le vol plutôt que sur le sabotage immédiat, les mêmes tactiques pourraient être appliquées aux infrastructures critiques, aux chaînes d’approvisionnement ou aux secteurs où l’accès persistant est très apprécié.
Site Disclaimer
2-remove-virus.com is not sponsored, owned, affiliated, or linked to malware developers or distributors that are referenced in this article. The article does not promote or endorse any type of malware. We aim at providing useful information that will help computer users to detect and eliminate the unwanted malicious programs from their computers. This can be done manually by following the instructions presented in the article or automatically by implementing the suggested anti-malware tools.
The article is only meant to be used for educational purposes. If you follow the instructions given in the article, you agree to be contracted by the disclaimer. We do not guarantee that the artcile will present you with a solution that removes the malign threats completely. Malware changes constantly, which is why, in some cases, it may be difficult to clean the computer fully by using only the manual removal instructions.