Posté le janvier 9, 2023 à 8:56
LES HACKERS RUSSES DE TURLA UTILISENT UNE INFRASTRUCTURE DE LOGICIELS MALVEILLANTS ÂGÉE DE DIX ANS POUR EXÉCUTER DES PORTES DÉROBÉES
Turla, un groupe de cyber-espionnage basé en Russie, a utilisé une infrastructure d’attaque contenue dans un logiciel malveillant vieux de dix ans. Les hackers ont utilisé cette infrastructure pour déployer des portes dérobées et de reconnaissance visant des personnes en Ukraine.
Les hackers Russes Turla s’appuient sur une infrastructure de logiciels malveillants vieille de dix ans
Mandiant de Google a détecté les opérations de ce groupe d’acteurs de la menace. Mandiant suit cette activité sous le nom de cluster UNC4210. Le rapport indique que les serveurs détournés sont les mêmes que ceux utilisés par une version d’un logiciel malveillant de base connu sous le nom de ANDROMEDA ou Gamarue. Ce logiciel malveillant a été mis en ligne sur VirusTotal en 2013.
Les chercheurs de Mandiant ont ajouté que les hackers avaient enregistré environ trois domaines de commande et de contrôle ANDROMEDA qui avaient déjà expiré. Ils ont ensuite établi le profil des victimes pour déployer QUIETCANARY et KOPILUWAK en septembre de l’année dernière.
Turla est l’un des plus grands groupes de hackers en Russie. Le groupe porte également d’autres noms, tels que Waterbug, Krypton, Iron Hunter, Venomous Bear et Uroburos. Le groupe d’espionnage utilise plusieurs logiciels malveillants personnalisés pour cibler les gouvernements, les diplomates et les organisations militaires.
Depuis que la Russie a envahi l’Ukraine en février de l’année dernière, le nombre de campagnes d’hameçonnage et d’efforts de reconnaissance visant les institutions du pays a augmenté. Une autre activité de piratage impliquant le groupe de hackers Turla a été détectée en juillet de l’année dernière. Le Threat Analysis Group de Google a constaté que le groupe avait créé une application Android malveillante. Cette application est censée permettre aux hackers Ukrainiens de lancer des attaques par déni de service distribué contre des sites Web Russes.
Le récent rapport des chercheurs de Mandiant montre que le groupe de hackers Turla a utilisé des infections plus anciennes pour diffuser des logiciels malveillants. Le groupe de recherche a également profité de la façon dont le logiciel malveillant ANDROMEDA se propage par le biais de clés USB infectées. La société de renseignement sur les menaces a noté que « les logiciels malveillants se propageant par USB continuent d’être un vecteur utile pour obtenir un accès initial dans les organisations. »
Le récent rapport des chercheurs de Mandiant montre que le groupe de hackers Turla a utilisé des infections plus anciennes pour diffuser des logiciels malveillants. Le groupe de recherche a également profité de la façon dont le logiciel malveillant ANDROMEDA se propage par le biais de clés USB infectées. La société de renseignement sur les menaces a noté que « les logiciels malveillants se propageant par USB continuent d’être un vecteur utile pour obtenir un accès initial dans les organisations. »
L’activité de piratage détectée par les chercheurs de Mandiant a également montré que les hackers ont utilisé une clé USD infectée. La clé USB a été insérée dans une organisation en Ukraine en décembre 2021. Cela a entraîné le déploiement d’un artefact ANDROMEDA hérité sur l’hôte après avoir lancé un fichier de lien malveillant. Le fichier était caché dans un dossier sur la clé USB.
Après le lancement du fichier .LNK, les hackers ont changé l’objectif de l’un des domaines de formation contenus dans l’infrastructure C2 d’ANDROMEDA. Le domaine a été enregistré à nouveau en janvier 2022 et a été utilisé pour profiler la cible en lançant le dropper KOPUILUWAK de première étape. Ce dernier est un utilitaire de reconnaissance de réseau qui est codé en JavaScript.
Le 8 septembre 2022, l’attaque est passée à la dernière phase, où QUIETCANARY, un implant basé sur .NET connu sous le nom de Tunnus, a été exécuté. Les fichiers créés après le 1er janvier 2021 ont ainsi été exfiltrés.
L’activité de piratage de Turla fait suite à des rapports antérieurs indiquant que le groupe de hackers s’engageait dans des efforts de profilage des victimes dans le cadre de la guerre actuelle entre la Russie et l’Ukraine. Cela a permis au groupe de personnaliser ses campagnes de piratage et de recueillir des informations précieuses pour la Russie.
Cette activité de piratage est également unique car il est rare qu’un groupe de hackers cible les victimes d’une autre campagne de logiciels malveillants pour atteindre ses objectifs tout en cachant ses motivations. Les chercheurs ont constaté que les anciennes versions du logiciel malveillant ANDROMEDA étaient toujours diffusées à l’aide d’appareils USD compromis. Une fois les domaines réenregistrés, ils constituent un risque pour les nouveaux acteurs de la menace qui peuvent les contrôler et déployer des logiciels malveillants sur les victimes.
« Cette nouvelle technique de revendication de domaines expirés utilisés par des logiciels malveillants largement diffusés et à motivation financière peut permettre de compromettre ensuite un large éventail d’entités. En outre, les logiciels malveillants et les infrastructures plus anciens sont plus susceptibles d’être ignorés par les défenseurs qui traitent une grande variété d’alertes », ont déclaré les chercheurs.
Un hacker parrainé par la Russie cible des laboratoires de recherche nucléaire Américains
Ce rapport intervient après que Reuters a révélé que COLDRIVER, un groupe de hackers parrainé par la Russie, également connu sous le nom de SEABORGIUM ou Callisto, avait ciblé trois laboratoires de recherche nucléaire aux États-Unis au début de l’année dernière.
L’exploit a consisté à créer de fausses pages de connexion pour les laboratoires nationaux d’Argonne, Brookhaven et Lawrence afin d’inciter les scientifiques nucléaires à partager leurs mots de passe.
La manière dont l’attaque a été menée reflète l’activité du groupe de hackers COLDRIVER. Ce groupe a aussi été récemment exposé pour avoir usurpé les pages de connexion de sociétés de conseil dans le domaine de la défense et du renseignement. Le groupe a également ciblé des groupes de réflexion, des ONG et des établissements d’enseignement supérieur.