Logiciel malveillant PicassoLoader
Les experts d'Infosec ont identifié une série de campagnes de cyberattaques contre des cibles en Ukraine et en Pologne. Les cybercriminels s'attachent à compromettre les entités gouvernementales, les organisations militaires et les utilisateurs civils. Ces campagnes visent à obtenir illicitement des données sensibles et à établir un accès à distance continu aux systèmes compromis.
Couvrant une période d'avril 2022 à juillet 2023, cette campagne d'intrusion utilise diverses tactiques. Des leurres de phishing et des documents leurres sont utilisés pour tromper les victimes et faciliter le déploiement d'un malware téléchargeur connu sous le nom de PicassoLoader. Ce logiciel menaçant sert de passerelle pour lancer d'autres outils dangereux, en particulier le Cobalt Strike Beacon et njRAT .
Les leurres de phishing sont des techniques trompeuses utilisées pour amener des individus à divulguer des informations sensibles, telles que des noms d'utilisateur, des mots de passe ou des informations d'identification de compte. Les documents leurres sont des fichiers déguisés conçus pour paraître légitimes mais qui contiennent en réalité des charges utiles dangereuses. En incitant les victimes à interagir avec ces documents leurres, les attaquants peuvent exécuter le téléchargeur PicassoLoader sur leurs systèmes.
Une fois que PicassoLoader est déployé avec succès, il sert de conduit pour la prochaine étape de l'attaque. Il permet l'installation et l'exécution de deux types de logiciels malveillants supplémentaires : le Cobalt Strike Beacon et le njRAT. Le Cobalt Strike Beacon est un outil de test de pénétration sophistiqué qui permet aux attaquants d'obtenir un accès non autorisé et un contrôle sur les systèmes compromis. Quant à njRAT, il s'agit d'un cheval de Troie d'accès à distance qui fournit aux attaquants un accès à distance non autorisé aux systèmes infectés, leur permettant de mener des activités malveillantes sans être détectées.
Table des matières
Le logiciel malveillant PicassoLoader est déployé dans le cadre d’une chaîne d’infection à plusieurs étapes
Les attaquants derrière PicassoLoader ont utilisé une chaîne d'infection à plusieurs étapes pour mener à bien leurs activités nuisibles. La première étape impliquait l'utilisation de documents Microsoft Office compromis, les formats de fichiers Microsoft Excel et PowerPoint étant les plus couramment utilisés. Ces documents servent de point de départ à l'attaque.
Après les documents Office, un téléchargeur exécutable et une charge utile sont dissimulés dans un fichier image. Cette tactique a probablement été utilisée pour rendre la détection du téléchargeur et de la charge utile plus difficile pour les systèmes de sécurité. En se cachant dans un fichier image, les attaquants visent à contourner les mesures de sécurité et à augmenter les chances de réussite de l'infiltration.
Certaines de ces attaques ont été attribuées à un acteur malveillant connu sous le nom de GhostWriter, également suivi comme UAC-0057 ou UNC1151. Les motivations et les objectifs de GhostWriter sont censés s'aligner sur les intérêts du gouvernement biélorusse.
De nombreuses attaques ciblées contre l’Ukraine ont été observées
Il convient de mentionner qu'un sous-ensemble de ces attaques avait déjà été documenté au cours de l'année écoulée par l'équipe ukrainienne d'intervention en cas d'urgence informatique (CERT-UA). Un exemple notable s'est produit en juillet 2022, où des documents PowerPoint chargés de macros ont été utilisés pour diffuser le logiciel malveillant Agent Tesla . Cet incident a mis en évidence l'utilisation de macros comme moyen de distribuer des logiciels malveillants et de compromettre les systèmes des victimes.
Les chaînes d'infection utilisées dans ces attaques reposent sur des méthodes d'ingénierie sociale pour convaincre les victimes d'activer les macros dans les documents Office. Une fois les macros activées, une macro VBA est déclenchée, entraînant le déploiement de la menace du téléchargeur PicassoLoader DLL. Ce téléchargeur établit ensuite une connexion avec un site contrôlé par les attaquants pour récupérer la charge utile de l'étape suivante, qui est intégrée dans un fichier image apparemment légitime. Le logiciel malveillant final est dissimulé dans ce fichier image.
Ces révélations récentes du CERT-UA coïncident avec leurs rapports sur plusieurs opérations de phishing distribuant le malware SmokeLoader. De plus, une attaque par smishing a été identifiée, ciblant les utilisateurs de Telegram dans le but d'obtenir un contrôle non autorisé sur leurs comptes.
GhostWriter n’est qu’un des groupes de cybercriminalité ciblant l’Ukraine
L'Ukraine est devenue la cible de plusieurs acteurs menaçants, dont le célèbre groupe d'États-nations russe APT28 . APT28 a été observé en train d'employer une tactique d'envoi d'e-mails de phishing avec des pièces jointes HTML, incitant les destinataires à croire qu'il existe une activité suspecte dans leur UKR.NET et Yahoo! comptes. Les e-mails invitent les utilisateurs à modifier leurs mots de passe, mais les conduisent à de fausses pages de destination conçues pour collecter leurs identifiants de connexion.
Ce développement récent fait partie d'un schéma plus large observé dans les activités des pirates informatiques associés au renseignement militaire russe (GRU). Ils ont adopté un « manuel de jeu standard en cinq phases » dans leurs opérations perturbatrices contre l'Ukraine, démontrant un effort délibéré pour améliorer la vitesse, l'échelle et l'intensité de leurs attaques.
