DÉCOUVERTE D’UN NOUVEAU LOGICIEL MALVEILLANT DE VOL D’INFORMATIONS VISANT LE GOUVERNEMENT UKRAINIEN

Posté le avril 18, 2022 à 9:22

DÉCOUVERTE D’UN NOUVEAU LOGICIEL MALVEILLANT DE VOL D’INFORMATIONS VISANT LE GOUVERNEMENT UKRAINIEN

Des chercheurs en cybersécurité ont mis en garde contre une nouvelle vague d’attaques d’ingénierie sociale que les hackers utilisent pour diffuser le logiciel malveillant IcedID. L’alerte indique également que les acteurs de menaces déploient des exploits Zimbra pour voler des données sensibles, ciblant spécifiquement le gouvernement Ukrainien.

Le CERT-UA (Computer Emergency Response Team of Ukraine) a publié l’alerte et fourni des détails sur les exploits.

L’agence a révélé que l’attaque de phishing IcedID est liée à un groupe de menaces appelé UAC-0041. Les acteurs de la menace commencent par une séquence d’infection dans un courriel qui inclut un document Microsoft Excel. Une fois que l’utilisateur visé a ouvert le document, il est amené à ouvrir des macros, ce qui entraîne le déploiement d’IcedID. À partir de là, le fichier malveillant GzipLoader délivre la charge utile finale qui est IcedIEd, qui la récupère, la décrypte et l’exécute.

Le logiciel malveillant peut voler les informations d’identification des utilisateurs

Le logiciel malveillant de piratage IcedID est un cheval de Troie qui peut être déployé par un acteur de menaces pour voler les informations d’identification des comptes des utilisateurs. Outre sa fonction principale, il peut également être déployé comme chargeur pour d’autres types de logiciels malveillants tels que les wipers, les ransomwares et Cobalt Strike.

La deuxième vague d’attaque est liée à un nouveau groupe de menaces appelé UAC-0097, avec des pièces jointes d’e-mails qui contiennent un en-tête Content-Location. Il est accompagné d’un code JavaScript détenu par un serveur distant qui active une attaque pour une vulnérabilité cross-site scripting dans Zimbra. La vulnérabilité en question est étiquetée CVE-2018-6882.

La vulnérabilité affecte les versions 8.7 et plus anciennes du site de collaboration de Zimbra. Elle permet aux hackers de planter du HTML ou des scripts web arbitraires dans les pièces jointes d’un email en utilisant un en-tête Content-location.

Le logiciel malveillant ressemble à TrickBot et à Zloader

Selon l’agence, le logiciel malveillant voleur d’informations présente des caractéristiques similaires à celles de Zloader, Emotet et TrickBot. On constate également que le logiciel malveillant a évolué, passant d’un cheval de Troie bancaire plus simple et moins compliqué à un service plus sophistiqué et à part entière. Par conséquent, il facilite l’administration des implants de l’étape suivante, comme les ransomwares.

Zimbra est une plateforme de collaboration et de messagerie électronique basée sur le cloud qui possède plusieurs fonctionnalités telles que le stockage en nuage, le partage de fichiers, les contacts, la vidéoconférence, ainsi que la messagerie instantanée.

Dans la phase finale de l’attaque, le JavaScript injecté est utilisé pour transférer les e-mails des victimes vers une adresse e-mail contrôlée par le hacker, ce qui indique une campagne de cyberespionnage.

La publication explique également que l’attaque fait partie d’une cyberactivité hostile contre l’Ukraine, qui a débuté en janvier. La découverte de cette campagne de piratage intervient quelques jours après que le CERT-UA a annoncé avoir déjoué une cyberattaque Russe qui visait à saboter les opérations d’un fournisseur d’énergie non divulgué dans le pays.

L’ingénierie sociale est une technique de piratage courante que les acteurs de menaces utilisent pour tromper les gens et les inciter à donner les détails de leur compte, tels que leurs informations personnelles et leurs mots de passe. Dans certains cas, les utilisateurs sont incités à envoyer des fonds aux acteurs malveillants sans le savoir. Pour ce faire, ils utilisent différentes tactiques. Dans certains cas, ils prétendent offrir des services, ce qui n’est pas le cas, en promettant des récompenses à leurs cibles pour l’accomplissement d’une tâche simple.

Dans d’autres cas, les hackers se font passer pour quelqu’un qu’ils ne sont pas ou demandent de l’aide pour quelque chose qui n’existe pas. Les agences de sécurité et les chercheurs en cybersécurité ne cessent de donner des conseils pour faire face aux attaques d’ingénierie sociale.

L’un des meilleurs moyens d’éviter de devenir une victime consiste pour les organisations à éduquer les employés sur les différentes méthodes et techniques déployées par les mauvais acteurs pour perpétrer de telles attaques. Il leur est également conseillé d’utiliser l’authentification multifactorielle et de faire attention à leurs interactions en ligne avec des inconnus en ligne.

Les hackers liés à la Russie continuent de cibler les infrastructures critiques en Ukraine

Les hackers parrainés par la Russie ont toujours profité de la moindre occasion pour lancer des attaques contre les infrastructures critiques en Ukraine.

La semaine dernière, l’Ukraine a révélé avoir déjoué des attaques russes sur son réseau électrique. Selon le rapport, des hackers Russes ont tenté de provoquer un black-out en ciblant le réseau électrique ukrainien. Si l’attaque avait réussi, elle aurait touché plus de 2 millions de personnes, selon l’entreprise Slovaque de cybersécurité ESET et le gouvernement Ukrainien.

Les attaquants ont utilisé un logiciel malveillant de type « wiper » pour détruire les ordinateurs d’une société énergétique Ukrainienne. Le logiciel malveillant était conçu pour frapper durement les systèmes ciblés en supprimant les données clés et en les rendant inutilisables. L’attaque a toutefois été déjouée, ce qui a permis d’éviter la plus grande panne d’électricité jamais provoquée par la cybercriminalité.

L’attaque contre le réseau électrique Ukrainien est l’une des nombreuses tentatives des services de renseignement militaires russes pour perturber l’espace Internet Ukrainien et perturber les infrastructures critiques alors que la guerre continue.

Summary
DÉCOUVERTE D'UN NOUVEAU LOGICIEL MALVEILLANT DE VOL D'INFORMATIONS VISANT LE GOUVERNEMENT UKRAINIEN
Article Name
DÉCOUVERTE D'UN NOUVEAU LOGICIEL MALVEILLANT DE VOL D'INFORMATIONS VISANT LE GOUVERNEMENT UKRAINIEN
Description
Des chercheurs en cybersécurité ont mis en garde contre une nouvelle vague d'attaques d'ingénierie sociale que les hackers utilisent pour diffuser le logiciel malveillant IcedID.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading