L’attaque a ciblé la mission militaire d’un pays occidental en Ukraine, dans le but de déployer une version PowerShell du GammastEel Infostealer.
Un groupe de cyberespionnage d’origine russe qui a ciblé des entités d’Ukraine, ou de pays qui aident l’Ukraine, a récemment lancé une attaque contre l’armée d’une nation occidentale en utilisant une version mise à jour du malware GammastEel.
Shuckworm, également connu sous le nom de Gamaredon, Aqua Blizzard ou Primitive Bear, est un groupe approprié qui serait lié au service de sécurité fédéral russe (le FSB). Le groupe a ciblé le gouvernement, les forces de l’ordre, les ONG et les organisations de défense en Ukraine depuis plus d’une décennie, les premières attaques rapportées en 2013.
Dans une nouvelle campagne observée en février par des chercheurs de Symantec de Broadcom, la cible était la mission militaire d’un pays occidental sans nom en Ukraine. Il a utilisé une chaîne d’attaque complexe avec une série de scripts obscurcis et une nouvelle version basée sur PowerShell du GammastEel Infostealer.
« Bien que le groupe ne semble pas avoir accès aux mêmes compétences que certains autres groupes russes, Shuckworm semble désormais essayer de compenser cela en apportant continuellement des modifications mineures au code qu’elle utilise, en ajoutant une obscurité et en tirant parti des services Web légitimes, le tout pour réduire le risque de détection », ont déclaré les chercheurs symantec.
Chaîne d’attaque lancée à partir de lecteur externe
L’infection analysée par Symantec semble avoir commencé avec un fichier de raccourci Windows appelé, lancé à partir d’un lecteur externe. Ceci a été enregistré sous la clé userAssist du registre, qui stocke un enregistrement de fichiers, de liens, d’applications et d’objets accessibles par l’utilisateur actuel via Windows Explorer.
Après l’exécution de ce fichier, il a été lancé, un binaire Windows qui peut être utilisé pour exécuter VBScript et JScript localement sur Windows. Dans ce cas, il a été utilisé pour exécuter une commande javascript qui a invoqué un objet ActiveX et utilisé pour exécuter un fichier appelé.
Il s’agit d’un fichier hautement obscurci dont l’exécution a abouti à la création de deux fichiers supplémentaires avec des noms du format. L’objectif de l’un des fichiers est de contacter le serveur de commandement et de contrôle des attaquants (C2) et de maintenir une connexion persistante avec elle.
Les adresses IP des serveurs C2 sont obtenues en contactant des URL codées en dur dans le fichier et en récupérant les adresses actuelles d’eux. Le résultat est deux adresses IP et un nom de domaine qui pointent tous vers des serveurs contrôlés par l’attaquant.
« Le serveur (C2) est similaire à d’autres qui ont été utilisés par la ver de Shuckworm dans le passé, comme le montre une enquête par un avenir enregistré où le groupe a mis à profit les tunnels Cloudflare pour leur infrastructure (C2) », ont déclaré les chercheurs.
Le deuxième fichier de la chaîne d’attaque modifie les valeurs de registre afin de modifier la façon dont Windows Explorer affiche des fichiers cachés et système. Il infecte ensuite tous les disques amovibles connectés à l’ordinateur en copie des fichiers .lnk dans tous les répertoires trouvés sur eux. C’est un comportement typique des vers USB.
Les noms de fichiers observés par Symantec étaient en Ukrainien, mais se traduisent en termes tels que: «Plan de conduite», «message spécial», «Lettre à», «inspection spéciale», «Rapport des blessures», «Déploiement», «Calcul de la défense aérienne», «Soutien du commandant sur les morts», «BMP», «Soutenir le soutien», «Référence sur les morts», «BMP», «Soutien sur le gour source ».
Sur une machine, les chercheurs ont observé le serveur C2 livrant du code obscurci qui a ensuite été lancé via PowerShell. Cela a lancé une chaîne de scripts obscurcis qui a tendu la main à plus de serveurs et téléchargé des scripts PowerShell supplémentaires.
Un script a servi d’outil de reconnaissance collectant des informations sur l’ordinateur, y compris les informations système, le nom du logiciel de sécurité en cours d’exécution, l’espace disponible sur les disques, l’arbre de répertoire du dossier de bureau et une liste de tous les processus en cours d’exécution. Toutes ces informations collectées ont été renvoyées au serveur C2.
Nouvelle variante Gammasteel
Le deuxième script était une version PowerShell de GammastEel qui a exfiltré tous les fichiers avec certaines extensions à partir de répertoires spécifiés tels que le bureau, le téléchargement et les documents. Les extensions ciblées comprenaient .doc, .docx, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .rtf, .odt, .txt et .pdf.
La nouvelle version Gammasteel utilise des demandes Web PowerShell pour exfiltrater les fichiers, et s’il échoue, il reprend l’utilisation de l’outil de ligne de commande Curl avec un proxy Tor pour envoyer des données. Il existe également du code qui suggère que le service Web a également été utilisé comme un canal d’exfiltration de données de secours.
« Cette attaque marque quelque chose d’une augmentation de la sophistication pour Shuckworm, qui semble être moins qualifiée que les autres acteurs russes, bien qu’il compense cela avec son accent implacable sur les objectifs en Ukraine », ont déclaré les chercheurs.
Le rapport Symantec comprend des indicateurs de compromis tels que les hachages de fichiers, les noms de fichiers, les URL, les adresses IP, etc., qui peuvent être utilisées par les équipes de sécurité pour établir des détections ou des règles de chasse aux menaces.
