Des cybercriminels russes ont été observés en train de cibler des employés du gouvernement ukrainien avec des logiciels malveillants voleurs d’informations en se faisant passer pour du personnel informatique travaillant dans ces institutions.
Les chercheurs en cybersécurité de l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) ont repéré la campagne de piratage au cours de laquelle des pirates informatiques parrainés par l’État russe de l’acteur menaçant APT28 (également connu sous le nom de Fancy Bear) envoyaient des e-mails aux employés du gouvernement ukrainien.
Ces e-mails prétendaient provenir du service informatique du gouvernement et les exhortaient à mettre à jour leurs appareils Windows immédiatement afin de prévenir d’éventuelles cyberattaques.
Se faire passer pour des Ukrainiens
Les chercheurs ne pouvaient pas dire comment les attaquants avaient obtenu ces informations, mais pour améliorer leur crédibilité, les pirates créeraient des adresses e-mail @outlook.com, en utilisant les noms de personnes réelles travaillant dans ces organisations.
Si des victimes prenaient l’appât, les attaquants leur conseilleraient d’exécuter une commande PowerShell qui, au lieu de mettre à jour l’appareil, téléchargeait un logiciel malveillant voleur d’informations.
Ce malware abuse des commandes « tasklist » et « systeminfo » pour récolter des données sensibles et les envoyer à une API de service Mocky via une requête HTTP.
Pour s’assurer que personne ne tombe dans le piège, le CERT-UA recommande aux services informatiques réels de restreindre la capacité d’exécuter des commandes PowerShell sur des appareils critiques et de surveiller le trafic réseau pour détecter toute activité suspecte, en particulier si quelque chose se connecte à l’API de service Mocky.
La guerre russo-ukrainienne qui fait rage depuis plus d’un an maintenant se déroule sur deux fronts – l’un physique et l’autre dans le cyberespace. Les pirates informatiques russes ont travaillé dur, essayant d’infecter les terminaux gouvernementaux avec des logiciels malveillants, ainsi que de faire tomber les principaux sites Web du gouvernement et des médias.
En fait, près des deux tiers (60 %) de tous les e-mails de phishing ciblant des cibles ukrainiennes au cours du premier trimestre de l’année provenaient d’acteurs de la menace russes, selon le Threat Analysis Group (TAG) de Google. TAG affirme également qu’APT28 est l’un des acteurs clés de cette campagne.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)