Posté le août 18, 2023 à 8:57
DES HACKERS CIBLENT L’APPLICATION ZULIP POUR DES CAMPAGNES DE PIRATAGE CONTRE DES PAYS DE L’OTAN
Des chercheurs en sécurité ont détecté une campagne de piratage en cours qui visait des pays membres de l’Organisation du traité de l’Amérique du Nord (OTAN). La campagne de piratage visait les ministères des affaires étrangères de ces deux pays. La nature de cette campagne de piratage indique que des acteurs Russes ont ciblé des pays Occidentaux alliés de l’Ukraine.
Des hackers utilisent l’application Zulip pour des campagnes de phishing diplomatique
Les campagnes d’hameçonnage en question présentaient des documents PDF contenant de prétendues informations diplomatiques. Certains de ces documents ont été modifiés pour donner l’impression qu’ils provenaient d’Allemagne. Les documents déploient une variante de logiciel malveillant connue sous le nom de Duke.
Le logiciel malveillant Duke est attribué à certains des plus grands groupes d’acteurs de menaces Russes, comme APT29. Ce groupe de hackers porte également des noms tels que The Dukes, Cloaked Ursa, BlueBravo, Midnight Blizzard, Cozy Bear et Iron Hemlock.
La campagne de phishing a été signalée par la société de cybersécurité EclecticIQ. Cette société basée aux Pays-Bas a déclaré que la campagne de piratage s’appuyait sur l’application de chat Zulip. Cette application de chat a des fonctions de commande et de contrôle. Elle contourne et dissimule ses activités malveillantes derrière un trafic web légitime.
Les hackers ont mené cette campagne à l’aide d’une pièce jointe au format PDF intitulée « Adieu à l’ambassadeur d’Allemagne ». Ce fichier PDF contient un code JavaScript intégré qui lance un processus en plusieurs étapes pour créer une porte dérobée persistante sur les réseaux ciblés.
Si la cible ouvre le fichier PDF compromis, elle déploie un dropper HTML malveillant, « Invitation_Farewell_DE_EMB ». Ce dropper sera libéré pour exécuter un JavaScript qui déposera ensuite un fichier d’archive ZIP. Ce fichier livre ensuite un fichier d’application HTML créé pour déployer le logiciel malveillant Duke.
La commande et le contrôle (C2) seront activés par le biais de l’API de Zulip pour envoyer les détails de la victime à un salon de discussion contrôlé par les hackers. Le processus permet à ces hackers d’exécuter des commandes à distance sur les hôtes compromis.
EclecticIQ a découvert un deuxième fichier PDF qu’APT29 a probablement utilisé pour effectuer des tests ou des opérations de reconnaissance. Le deuxième fichier PDF informait le hacker si la victime ciblée ouvrait une pièce jointe à un email via une notification sur un domaine compromis connu sous le nom de edenparkweddings[.]com.
L’attaque est attribuée à APT29
Les techniques utilisées dans la campagne de piratage reflètent ce qui a été vu précédemment avec APT29. Le groupe de hackers a utilisé des thèmes d’invitation dans la récente campagne, similaires à une précédente étude menée par Lab52 sur une attaque usurpant l’identité de l’ambassade de Norvège. L’attaque de piratage a délivré une charge utile DLL qui pouvait contacter un serveur distant pour sécuriser d’autres charges utiles.
La campagne récente a en outre utilisé le domaine « bahamas.gov[.]bs » dans les jeux d’intrusion, ce qui permet d’établir un lien entre APT29 et les campagnes récentes. Ce comportement a été signalé dans des recherches antérieures menées par le Centre de renseignement sur les menaces d’Anheng.
L’exploit sur Zulip s’aligne également sur le comportement de ce groupe de hackers parrainé par l’État pour exploiter des services Internet légitimes tels que Dropbox, Firebase, Google Drive, Microsoft OneDrive, Notion et Trello.
Le groupe de hackers s’en prend généralement aux gouvernements et à leurs sous-traitants. Sa campagne de piratage vise aussi des organisations politiques, des sociétés de recherche et des industries critiques en Europe et aux États-Unis.
Par ailleurs, le CERT-UA (Computer Emergency Response Team of Ukraine) a lancé un avertissement concernant une nouvelle vague de campagnes d’hameçonnage ciblant des organismes publics ukrainiens. Le rapport indique que les campagnes de piratage utilisent une boîte à outils de post-exploitation open-source basée sur Go, appelée Merlin. Cette activité de piratage est suivie par les chercheurs sous le nom de UAC-0154.
Depuis le début de la guerre, l’Ukraine a été la cible de piratages informatiques. Le pays a été confronté à des attaques lancées par l’unité de piratage d’élite Sandworm, liée aux services de renseignement militaire Russes. La campagne de piratage a perturbé des opérations cruciales tout en recueillant des informations sur la stratégie utilisée par l’armée Ukrainienne.
Un récent rapport publié par le Service de sécurité de l’Ukraine (SBU) indique que Sandworm a tenté en vain d’obtenir un accès non autorisé à des appareils Android appartenant à des militaires ukrainiens afin de planifier et d’exécuter des missions de combat.
Selon le SBU, « la capture d’appareils sur le champ de bataille, leur examen détaillé et l’utilisation des accès, et des logiciels disponibles sont devenus le principal vecteur de l’accès initial et de la distribution des logiciels malveillants. »
Certaines des souches de logiciels malveillants signalées dans le cadre de cette campagne de piratage incluent NETD pour garantir la persistance des attaques. La souche DROPBEAR a été utilisée pour sécuriser l’accès à distance, tandis que la souche STL a été utilisée pour collecter des données à partir de Starlink. Le logiciel malveillant du botnet Mirai a également été détecté dans cette campagne de piratage, le service caché TOR ayant été utilisé pour accéder à l’appareil.
