Les pirates russes ciblent l’Europe avec les logiciels malveillants HeadLace et la collecte d’informations d’identification
L’acteur russe APT28, soutenu par le GRU , a été attribué à une série de campagnes ciblant les réseaux à travers l’Europe avec le logiciel malveillant HeadLace et des pages Web de collecte d’informations d’identification.
APT28, également connu sous les noms de BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy et TA422, est un groupe de menaces persistantes avancées (APT) affilié à l’unité de renseignement militaire stratégique russe, la GRU.
L’équipe de hackers opère avec un haut niveau de furtivité et de sophistication, démontrant souvent sa capacité d’adaptation grâce à une préparation approfondie et des outils personnalisés, et en s’appuyant sur des services Internet légitimes (LIS) et des binaires vivant à l’extérieur du pays (LOLBins) pour dissimuler leurs opérations dans les limites habituelles. trafic réseau.
« D’avril à décembre 2023, BlueDelta a déployé le malware Headlace en trois phases distinctes en utilisant des techniques de géorepérage pour cibler les réseaux dans toute l’Europe, avec un accent particulier sur l’Ukraine », a déclaré le groupe Insikt de Recorded Future .
“Les activités d’espionnage de BlueDelta reflètent une stratégie plus large visant à recueillir des renseignements sur des entités ayant une importance militaire pour la Russie dans le contexte de son agression en cours contre l’Ukraine.”
HeadLace, comme précédemment documenté par l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA), Zscaler, Proofpoint et IBM X-Force, est distribué via des e-mails de spear phishing contenant des liens malveillants qui, une fois cliqués, déclenchent une infection en plusieurs étapes. séquence pour supprimer le malware.
BlueDelta aurait utilisé une chaîne d’infrastructure en sept étapes au cours de la première phase pour fournir un script Windows BAT malveillant (c’est-à-dire HeadLace) capable de télécharger et d’exécuter des commandes shell de suivi, sous réserve de vérifications de sandbox et de géorepérage.
La deuxième phase, qui a débuté le 28 septembre 2023, se distingue par l’utilisation de GitHub comme point de départ de l’infrastructure de redirection, tandis que la troisième phase est passée à l’utilisation de scripts PHP hébergés sur InfinityFree à partir du 17 octobre 2023.
“La dernière activité détectée au cours de la phase trois remonte à décembre 2023”, a indiqué la société. “Depuis lors, BlueDelta a probablement cessé d’utiliser l’hébergement InfinityFree et a privilégié l’infrastructure d’hébergement sur le site webhook[.]site et mocky[.]io directement.”
Il a également été constaté que BlueDelta entreprenait des opérations de collecte d’informations d’identification conçues pour cibler des services comme Yahoo! et UKR[.]net en proposant des pages similaires et en incitant les victimes à saisir leurs informations d’identification.
Une autre technique consistait à créer des pages Web dédiées sur Mocky qui interagissaient avec un script Python exécuté sur des routeurs Ubiquiti compromis pour exfiltrer les informations d’identification saisies. Plus tôt en février, une opération policière menée par les États-Unis a démantelé un botnet comprenant des Ubiquiti EdgeRouters utilisé par APT28 à cette fin.
Les cibles de l’activité de collecte d’accréditations comprenaient le ministère ukrainien de la Défense, les sociétés ukrainiennes d’importation et d’exportation d’armes, l’infrastructure ferroviaire européenne et un groupe de réflexion basé en Azerbaïdjan.
“Une infiltration réussie des réseaux associés au ministère ukrainien de la Défense et aux systèmes ferroviaires européens pourrait permettre à BlueDelta de recueillir des renseignements susceptibles de façonner les tactiques du champ de bataille et les stratégies militaires plus larges”, a déclaré Recorded Future.
“De plus, l’intérêt de BlueDelta pour le Centre azerbaïdjanais pour le développement économique et social suggère un programme visant à comprendre et éventuellement à influencer les politiques régionales.”
Cette évolution intervient alors qu’un autre groupe de menace russe parrainé par l’État, appelé Turla, a été observé tirant parti des invitations à des séminaires sur les droits de l’homme comme leurres de courrier électronique de phishing pour exécuter une charge utile similaire à la porte dérobée TinyTurla à l’aide du moteur Microsoft Build Engine ( MSBuild ).