Actualités

Russie-Ukraine : HermeticRansom, campagne Asylum Ambuscade, FancyBear, étendue des CSPN, Conti… les nouvelles du cyber-front, au 4 Mars 2022 !

Toujours en contraste du conflit actuellement en cours et concernant la Russie et l’Ukraine, les actualités sécuritaires et relatives aux nombreuses offensives éprouvées sur le sol ukrainien et ses habitants ne désemplissent pas : point-express sur la situation.

 

 

Comme à l’accoutumé et en rappelant qu’il s’agit d’un point officieux pour situer les tendances ou les évolutions des cyber-attaquants, CyberKnow actualise les données, au 4 Mars 2021 avec, tramé en orange, les cyber-attaquants ayant clôturé leurs services ou ayant vu leurs activités fermer ; la mention UNK, pour unkown, faisant mention à une intention, pour l’heure, inconnue ou non-communiquée par les cyber-groupes.

 

Toujours concernant CyberKnow, ce dernier fait référence à la récente section IT Army of Ukraine : conçue par le pays au tout début des conflits, il s’agit de développer une force cyber-sécuritaire locale pour tenter de juguler les cyber-attaques venant, notamment, de la Russie. Chaîne consultable librement depuis Telegram, depuis le 4 Mars 2022, cette section annonce une cellule ou plate-forme “Forces Internet de l’Ukraine“. Il s’agit de pouvoir donner des renseignements sur la “véritable situation“, notamment en tant qu’utilisateur de réseau social depuis Facebook, Instagram ou encore Telegram.

 

Depuis le 1er Mars 2022 et concernant Conti, les cyber-attaquants restent, semble t-il et selon les informations diffusées sur Twitter entre-autres, dans la tourmente : après ou malgré un rétro-pédalage d’une partie de leur propos (ils se sont prononcés, le 25 Février 2022, pour la Russie ou le laissait sous-entendre avant d’expliquer, le 27 Février 2022, qu’ils n’étaient “alliés avec aucun Gouvernement“) quelques remous auraient été effectués en interne ; hauteur du tressaillement : environ 350 000 fichiers ex-filtrés depuis le serveur Jabber-XMPP. Selon les observations de certains chercheurs, les serveurs seraient, pour l’heure, à l’arrêt complet avec des fichiers “nettoyés et effacés“, selon les messages-retours.

 

Une information qui serait à prendre au conditionnel : en effet et selon les informations publiées par DarkFeed au 4 Mars 2022, Conti serait malgré tout en bonne forme puisque les cyber-attaquants continuerait de diffuser leur ransomware-phare (Ryuk) avec, depuis “les dernières 24 heures“, 7 nouvelles victimes impactés par ce ransomware, ramenant un total de l’activité à 1,3 milliards de dollars USD. En aparté et toujours selon DarkFeed, le mois de Février 2022 plaçait Conti dans le top-5 des cyber-menaces (groupes), en deuxième position, derrière Lockbit (83 cyber-attaques signalées) et devant BlackCat (22), suivi de CLOP (10) et HiveLeaks (9). Au total et toujours pour ce mois de Février, l’ensemble, tout cyber-groupe confondu, a généré 28 M de dollars USD et rien, donc, que pour les cyber-attaques officiellement signalées-remontées.

De son côté, l’ANSSI informe brièvement et depuis le 4 Mars 2022, qu’elle étendra la durée de validité des certificats de sécurité de premier niveau ou CSPN à 3 ans avec, au-delà, un archivage, automatiquement. Cette décision s’inscrit dans le cadre du Cyber-security Act pour aligner les protocoles ou mesures cyber-sécuritaires en conformité avec le “nouveau schéma européen“, dans les “années à venir”. A court terme, cette décision s’inscrit dans un alignement avec la politique cyber-sécuritaire allemande (BSZ – validité : 2 ans) et la “prochaine ratification de l’accord franco-allemand des certificats CSPN), indique le communiqué officiel.

 

Dans un billet sécuritaire publié depuis le 23 Février 2022, ESET faisait part de HermeticWiper, un extracteur de données connu du cyber-bataillon, au moins, depuis le 28 Décembre 2021. Incursion observée – avec pour cible et selon les propos d’ESET, l’Ukraine – le 23 Février 2022, IsaacWiper est également observée le lendemain en tant que variation, le 24 Février 2022. Les deux malwares possèdent (théoriquement : non-prouvé) de nombreux points communs dont un ransomware nommé HermeticRansom. Ce dernier, depuis le 3 Mars 2022, possèdent désormais un déchiffreur : celui-ci a été délivré par les équipes Avast qui rappellent que ce ransomware repose sur un langage Go avec un chiffrement par bloc. Un modus operandi est disponible depuis la page dédiée.

 

Toujours ayant pour cible l’Ukraine, une campagne de phishing a été mise en lumière par les chercheurs de l’équipe ProofPoint : dans un billet sécuritaire publié le 1er Mars 2022, des remontés ou signalements au CERT-UA par des membres du Gouvernement ou des forces militaires ukrainiennes ont confirmé du spear-phishing (cible spécifique) par le cyber-groupe UNC1151 (TA445, Ghostwriter), pour l’heure, sans pouvoir fermement le confirmer. L’injection se faisait au détour d’une pièce-jointe (macro-commande, “list of participants of the briefing.xls“) en exploitant un sujet actuel (réunion du Conseil de sécurité de l’OTAN – le 23 Février 2022). Derrière la pièce jointe résidait SunSeed, un malware (Lua) qui ciblait les personnes impliqués dans la logistique de transports de refugiés ou d’habitants (flux migratoires) hors de l’Ukraine. En d’autres termes, il s’agissait de collecter des renseignements pour se tenir informer des évolutions ukrainiennes, à ce niveau.

 

Une fois le malware installé (package MSI – script Lua), la viralité s’établissait avec un fichier LNK qui s’initialisait à chaque démarrage de Windows (C:\ProgramData\.security-soft\sppsvc.exe), via une douzaine de processus assimilés. Print.lua s’exécute, alors et d’autres bout de codes sont télécharger en distance via un serveur command-and-control.

 

Enfin et depuis le 23 Février 2022, les chercheurs de BellingCat, avec le concours de Snorre Fagerland, ont recensés – entre le 11 et 14 Février 2021 et, plus largement, entre Janvier et Février 2022 – plusieurs duplications ou clones de sites Web (stun[.]) : puisés essentiellement depuis l’Internet ukrainien, ils se concentraient sur la duplication Web de contenus gouvernementaux (Président, Ministères, département de la Justice, portail relatif aux pétitions sous la coupe gouvernementale). L’ensemble ou la duperie remonterait, au moins, à Novembre 2021, ce qui pourrait coïncider avec une série d’évènements à l’initiative de la Russie. Un des sites intégrait un bouton jaune (soutenez le Président) recelant un téléchargement d’un malware. Ce bouton, une fois cliqué, lançait un téléchargement d’un exécutable CPL (Control PaneL) et intégrait, post-analyse depuis VirusTotal, “une foule de logiciels malveillants” assimilable à un trojan, comportementalement avec, en finalité et entre-autres, des attaques DDoS “avec une échelle de distribution sans précédent”. A noter qu’en plus les cyber-attaquants distillaient des fichiers ZIP vérolés (+35) depuis des URLs Discord : sous les noms atom.gov. ua, mfa ou encore mil.gov . ua, lesdits liens semblaient viser, là aussi, des acteurs de la chaîne gouvernementale ukrainienne bien spécifique (dans le secteur nucléaire, ici).

 

Les cyber-attaques, tout comme la campagne Asylum par ailleurs, exploitaient l’ingénierie sociale avec des sujets ayant attraits à la COVID-19 ou encore une mise à jour “urgente“. Derrière ces sujets résidait, en réalité, une ex-filtration de données par l’entremise de Saint Bot, une charge utile malveillante. Selon les propos rapportés par les chercheurs, ce type de cyber-attaques aurait été exploitée à l’encontre de l’ATO (Anti-Terrorist Operation – Ukraine), une organisation militaire d’anciens combattants eux-mêmes chargés de contrer les incursions russes (Donbass).

Bien que les cyber-attaques de 2021 pointaient vers TA471 et même si, pour l’heure, les éléments de preuve ne permettent pas de corroborer lesdites preuves, les chercheurs estiment que APT28 (FancyBear) pourraient résider derrière ces cyber-attaques, notamment en raison de la re-exploitation de certains documents ou ressources (exploitation de la COVID-19 par ingénierie sociale ainsi que des documents relatifs à l’OTAN pour distiller le malware + usage d’Autolt, encodage sous Hex des batchs, PowerShells et script CMD + adresses IPs – noms de domaine – pointant vers des attributions russes).

Comme d’habitude, l’heure est à la prudence en ne se précipitant pas sur un site Web douteux, inconnu ou dont un indice (mot, expression, graphismes…) mettrait en doute la légitimité du site en question… A veiller !

 

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6