Les pirates russes 'Gamaredon' utilisent 8 nouvelles charges utiles de logiciels malveillants dans les attaques

  • Principal
  • Nouvelles
  • Les pirates russes 'Gamaredon' utilisent 8 nouvelles charges utiles de logiciels malveillants dans les attaques

Des pirates informatiques liés à la Russie connus sous le nom de « Gamaredon » (également connus sous le nom d'Armageddon ou Shuckworm) ont été vus en train de déployer huit fichiers binaires personnalisés dans des opérations de cyber-espionnage contre des entités ukrainiennes.

Ce groupe de hackers serait exploité directement par le FSB russe (Federal Security Service) et est responsable de milliers d'attaques en Ukraine depuis 2013.

Des chercheurs de l'équipe Threat Hunter de Symantec, qui fait partie de Broadcom Software, ont analysé huit échantillons de logiciels malveillants utilisés par Gamaredon contre des cibles ukrainiennes lors d'attaques récentes, ce qui pourrait fournir des informations essentielles aux défenseurs pour se protéger contre la vague d'attaques en cours.

Fichiers utilisés dans les récentes attaques de Gamaredon

Selon le rapport de Symantec, les attaques surveillées ont commencé en juillet avec la diffusion d'e-mails de spear phishing contenant des documents Word avec des macros.

Ces fichiers ont démarré un fichier VBS qui a supprimé « Pteranodon », une porte dérobée bien documentée que Gamaredon développe et améliore depuis près de sept ans.

Cependant, alors que les attaques récentes sont toujours menées à l'aide d'e-mails de phishing, ces attaques suppriment désormais huit charges utiles différentes, comme décrit ci-dessous.

Les huit fichiers échantillonnés par les analystes de Symantec à partir des récentes attaques de Gamaredon sont des fichiers binaires 7-zip auto-extractibles qui minimisent les exigences d'interaction de l'utilisateur.

    descend.exe- S'exécute pour placer un fichier VBS dans '%USERPROFILE% Downloads deerbrook.ppt' et '%PUBLIC% Pictures deerbrook.ppt', et crée une tâche planifiée sur le système compromis. Le VBS contacte C2 et obtient la charge utile. deep-sunken.exe- La charge utile téléchargée qui est exécutée pour déposer quatre autres fichiers sur l'ordinateur compromis : baby.cmd, baby.dat, basement.exe (binaire wget), vb_baby.vbs. Une nouvelle tâche planifiée est créée et C2 est recontacté pour la prochaine charge utile. z4z05jn4.egf.exe- La charge utile de l'étape suivante, qui est similaire à la précédente mais a un C2 différent, place les fichiers dans des dossiers différents et utilise des noms de fichiers différents. challenge.exe- S'exécute pour placer les fichiers VBS dans '%TEMP%deep-versed.nls' et '%PUBLIC Pictures deep-versed.nls', puis crée une tâche planifiée à exécuter. deep-green.exe- Outil d'administration à distance UltraVNC qui se connecte à un répéteur. deep-green.exe- Explorateur de processus binaire pour Microsoft Windows. deep-green.exe- Identique à defiant.exe mais avec un encodage C2 et des noms de fichiers différents. deep-green.exe- Supprime VBS sur '%PUBLIC%Music' et crée une tâche planifiée qui recherche les lecteurs amovibles sur le système infecté.

D'autres indicateurs de compromis incluent les URL C2 et les adresses IP attribuées par AS9123 TimeWeb Ltd., qui utilisent toutes une structure URI unique, comme indiqué ci-dessous :

  • http + IP + /.php?=,O
  • http + IP + /.php?=,-

Aussi, les répertoires les plus courants hébergeant des fichiers malveillants sont :

  • liens profile_csidl
  • recherches csidl_profile
  • CSIDL_PROFILEappdatalocaltemp
  • CSIDL_PROFILE

Le rapport de Symantec conclut également que de nombreux fichiers supprimés ont des hachages de processus parents inconnus qui n'ont pas été analysés, de sorte que certaines parties du fonctionnement de Gamaredon restent floues.

Les hachages de fichiers pour les nouvelles charges utiles de logiciels malveillants découverts par Symantec peuvent être trouvés dans son rapport.

Qu'en penses-tu?