Logiciel malveillant de porte dérobée utilisé contre les entités de défense ukrainiennes

Une nouvelle porte dérobée basée sur .NET, nommée DeliveryCheck (également connue sous le nom de CAPIBAR ou GAMEDAY), a été identifiée, ciblant spécifiquement le secteur de la défense en Ukraine et en Europe de l'Est. Cette porte dérobée sophistiquée a la capacité de fournir des charges utiles ultérieures.

Les attaques ont été attribuées à un acteur de l'État-nation russe appelé Turla, qui porte divers noms comme Iron Hunter, Secret Blizzard (anciennement Krypton), Uroburos, Venomous Bear et Waterbug. Turla est connue pour être liée au Service fédéral de sécurité (FSB) russe. Le vecteur d'attaque consiste à distribuer DeliveryCheck par e-mail, en utilisant des documents contenant des macros malveillantes. Une fois infiltré, DeliveryCheck persiste à travers une tâche planifiée, qui le télécharge et l'exécute en mémoire. De plus, il communique avec un serveur de commande et de contrôle (C2) pour récupérer des tâches, y compris le lancement de charges utiles arbitraires intégrées dans des feuilles de style XSLT.

L'attaque initiale utilise l'implant Kazuar

Dans certains cas, l'accès initial s'accompagne de la distribution d'un implant Turla connu sous le nom de Kazuar. Cet implant est bien équipé pour voler les fichiers de configuration des applications, les journaux d'événements et diverses données des navigateurs Web. L'objectif principal de ces attaques est d'exfiltrer les messages de l'application de messagerie Signal sur Windows, permettant aux adversaires d'accéder à des conversations, des documents et des images sensibles sur les systèmes ciblés.

Un aspect important de DeliveryCheck est sa capacité à compromettre les serveurs Microsoft Exchange en installant un composant côté serveur à l'aide de PowerShell Desired State Configuration (DSC), une plate-forme qui facilite la configuration automatisée des systèmes Windows. Cela permet à DSC de générer un fichier MOF (Managed Object Format) contenant un script PowerShell qui charge la charge utile .NET intégrée en mémoire, transformant efficacement un serveur légitime en un centre C2 malveillant.

L'Ukraine démantèle une ferme de robots de propagande

En parallèle, la cyberpolice ukrainienne a réussi à démanteler une ferme de robots à grande échelle, impliquant plus de 100 individus engagés dans la diffusion de propagande hostile justifiant l'invasion russe. Le groupe a également été impliqué dans la fuite d'informations personnelles appartenant à des citoyens ukrainiens et dans l'exécution de divers stratagèmes frauduleux. Dans le cadre de cette opération, des perquisitions ont été menées dans 21 localités, aboutissant à la saisie de matériel informatique, de téléphones portables, de plus de 250 passerelles GSM et d'environ 150 000 cartes SIM appartenant à différents opérateurs mobiles.