Un nouveau rapport révèle les intrusions de longue date de Shuckworm dans les organisations ukrainiennes

15 juin 2023Ravie LakshmananCyber-guerre / Renseignements sur les menaces

L’acteur menaçant russe connu sous le nom de Ver de mer a poursuivi sa vague de cyberattaques contre des entités ukrainiennes dans le but de voler des informations sensibles dans des environnements compromis.

Les cibles des récentes intrusions, qui ont commencé en février/mars 2023, comprennent les services de sécurité, les organisations militaires et gouvernementales, Symantec a dit dans un nouveau rapport partagé avec The Hacker News.

« Dans certains cas, le groupe russe a réussi à organiser des intrusions de longue durée, pouvant durer jusqu’à trois mois », a déclaré la société de cybersécurité.

« Les attaquants ont tenté à plusieurs reprises d’accéder et de voler des informations sensibles telles que des rapports sur la mort de militaires ukrainiens, des rapports d’engagements et de frappes aériennes ennemis, des rapports d’inventaire d’arsenal, des rapports d’entraînement, etc. »

Shuckworm, également connu sous les noms d’Aqua Blizzard (anciennement Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 et Winterflounder, est attribué au Service fédéral de sécurité (FSB) de Russie. On dit qu’il est actif depuis au moins 2013.

Les activités de cyberespionnage consistent en des campagnes de harponnage conçues pour inciter les victimes à ouvrir des pièces jointes piégées, ce qui conduit finalement au déploiement de voleurs d’informations tels que Giddome, Pterodo, GammaLoad et GammaSteel sur des hôtes infectés.

« Iron Tilden sacrifie une partie de la sécurité opérationnelle au profit d’opérations à cadence élevée, ce qui signifie que leur infrastructure est identifiable grâce à l’utilisation régulière de fournisseurs de DNS dynamique spécifiques, de fournisseurs d’hébergement russes et de techniques d’injection de modèles à distance », a déclaré Secureworks. Remarques dans son profil d’acteur menaçant.

Dans la dernière série d’attaques détaillées par Symantec, les acteurs de la menace ont été observés en utilisant un nouveau script PowerShell pour propager la porte dérobée Pterodo via des clés USB.

Alors que l’utilisation par Shuckworm des canaux Telegram pour récupérer l’adresse IP du serveur hébergeant les charges utiles est bien documentée, l’auteur de la menace aurait étendu la technique pour stocker les adresses de commande et de contrôle (C2) sur Telegraph, une plateforme de blogs appartenant à Télégramme.

Le groupe utilise également un script PowerShell (« foto.safe ») qui se propage via des pilotes USB compromis et offre des capacités pour télécharger des logiciels malveillants supplémentaires sur l’hôte.

Une analyse plus poussée des intrusions montre que l’adversaire a réussi à pénétrer dans les machines des services des ressources humaines des organisations ciblées, suggérant ses tentatives de glaner des informations sur diverses personnes travaillant dans ces entités.

Les résultats sont une autre indication de la dépendance continue de Shuckworm vis-à-vis d’une infrastructure éphémère et de son évolution continue des tactiques et des outils pour garder une longueur d’avance sur la courbe de détection.

Ils arrivent également un jour après que Microsoft a fait la lumière sur les attaques destructrices, l’espionnage et les opérations d’information menées par un autre acteur de l’État-nation russe connu sous le nom de Cadet Blizzard ciblant l’Ukraine.

« Cette activité démontre que la focalisation incessante de Shuckworm sur l’Ukraine se poursuit », a déclaré Symantec. « Il semble clair que les groupes d’attaque soutenus par les États-nations russes continuent de viser des cibles ukrainiennes dans le but de trouver des données susceptibles d’aider leurs opérations militaires. »