Le groupe de hackers APT28 cible l’Europe, les Amériques et l’Asie dans le cadre d’un programme de phishing généralisé
L’acteur menaçant lié à la Russie, connu sous le nom d’ APT28 , a été associé à plusieurs campagnes de phishing en cours qui utilisent des documents leurres imitant des organisations gouvernementales et non gouvernementales (ONG) en Europe, dans le Caucase du Sud, en Asie centrale et en Amérique du Nord et du Sud.
“Les leurres découverts comprennent un mélange de documents internes et accessibles au public, ainsi que d’éventuels documents générés par les acteurs associés à la finance, aux infrastructures critiques, aux engagements des dirigeants, à la cybersécurité, à la sécurité maritime, aux soins de santé, aux affaires et à la production industrielle de défense”, IBM X -Force a déclaré dans un rapport publié la semaine dernière.
La société de technologie suit l’activité sous le nom d’ ITG05 , également connu sous les noms de Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anciennement Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, TA422 et UAC-028.
Cette révélation intervient plus de trois mois après que l’adversaire a été repéré en train d’utiliser des leurres liés à la guerre en cours entre Israël et le Hamas pour livrer une porte dérobée personnalisée baptisée HeadLace .
Depuis, APT28 a également ciblé des entités gouvernementales ukrainiennes et des organisations polonaises avec des messages de phishing conçus pour déployer des implants sur mesure et des voleurs d’informations comme MASEPIE, OCEANMAP et STEELHOOK .
D’autres campagnes ont impliqué l’ exploitation de failles de sécurité dans Microsoft Outlook ( CVE-2023-23397 , score CVSS : 9,8) pour piller les hachages NT LAN Manager (NTLM) v2, augmentant ainsi la possibilité que l’acteur malveillant puisse exploiter d’autres faiblesses pour exfiltrer les hachages NTLMv2. à utiliser dans les attaques par relais.
![Schéma de phishing généralisé Schéma de phishing généralisé](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiv9cYVmEedercw8hpXTvhUn73cEDD-hsE5RwRbzTPNjJ7FFZzLYtXBWohw1rLcp_HzcCd7IhCT09v8_Zmhw_9yzSDJFUc2_gixNOW_zJrdSJVNI2_qGaOS59bz24u6C3wWDKOMPltOYTk48PpKGQPrD3exGYCwDviekvQUJ564YdZ0diX3Y4G0BoO26MwO/s728-rw-e365/email.jpg)
Les dernières campagnes observées par IBM X-Force entre fin novembre 2023 et février 2024 exploitent le gestionnaire de protocole URI « search-ms: » dans Microsoft Windows pour inciter les victimes à télécharger des logiciels malveillants hébergés sur des serveurs WebDAV contrôlés par des acteurs.
Il existe des preuves suggérant que les serveurs WebDAV ainsi que les serveurs MASEPIE C2 pourraient être hébergés sur des routeurs Ubiquiti compromis , un botnet qui a été démantelé par le gouvernement américain le mois dernier.
Les attaques de phishing usurpent l’identité d’entités de plusieurs pays tels que l’Argentine, l’Ukraine, la Géorgie, la Biélorussie, le Kazakhstan, la Pologne, l’Arménie, l’Azerbaïdjan et les États-Unis, utilisant un mélange de documents authentiques gouvernementaux et non gouvernementaux accessibles au public pour activer l’infection. Chaînes.
“Dans une mise à jour de leurs méthodologies, ITG05 utilise le fournisseur d’hébergement disponible gratuitement, firstcloudit[.]com pour organiser les charges utiles afin de permettre les opérations en cours”, ont déclaré les chercheurs en sécurité Joe Fasulo, Claire Zaboeva et Golo Mühr.
Le point culminant du schéma élaboré d’APT28 se termine avec l’exécution de MASEPIE, OCEANMAP et STEELHOOK, conçus pour exfiltrer des fichiers, exécuter des commandes arbitraires et voler des données de navigateur. OCEANMAP a été caractérisé comme une version plus performante de CredoMap, une autre porte dérobée précédemment identifiée comme utilisée par le groupe.
“ITG05 reste adaptable aux changements d’opportunités en proposant de nouvelles méthodologies d’infection et en tirant parti de l’infrastructure disponible dans le commerce, tout en faisant évoluer constamment les capacités des logiciels malveillants”, ont conclu les chercheurs.