La campagne EastWind cible le gouvernement russe et les organisations informatiques via CloudSorcerer

Dans le cadre d’une nouvelle vague de cyberattaques, les entités gouvernementales et les organisations informatiques russes sont la cible d’une campagne sophistiquée de spear-phishing connue sous le nom d’EastWind. Cette campagne diffuse une série de portes dérobées et de chevaux de Troie, exploitant les systèmes Windows via un fichier de raccourci Windows malveillant (LNK) caché dans des pièces jointes d’archives RAR. Lorsque des utilisateurs peu méfiants ouvrent ces fichiers, ils déclenchent une séquence d’infection complexe qui conduit finalement au déploiement de plusieurs variantes de logiciels malveillants dangereux, notamment GrewApacha, une version mise à jour de la porte dérobée CloudSorcerer, et un implant nouvellement identifié appelé PlugY.

Le processus d'infection

La campagne EastWind commence avec un fichier LNK apparemment inoffensif. Cependant, ce fichier est tout sauf bénin. Il exploite des techniques de chargement latéral de DLL pour exécuter un fichier DLL malveillant, en utilisant Dropbox comme canal de communication. Une fois l'infection active, il effectue une reconnaissance et télécharge des charges utiles supplémentaires.

Parmi les malwares déployés figure GrewApacha , une porte dérobée précédemment associée au groupe APT31 lié à la Chine. Ce malware utilise un profil GitHub compromis pour stocker une chaîne codée en Base64, qui sert de serveur de commande et de contrôle (C2).

Un autre élément clé de cette attaque est CloudSorcerer , un outil de cyberespionnage très avancé. Cette porte dérobée facilite la surveillance secrète, la collecte de données et l'exfiltration en exploitant des services cloud populaires tels que Microsoft Graph, Yandex Cloud et Dropbox. Il utilise un mécanisme de protection basé sur le chiffrement, garantissant que le logiciel malveillant ne s'active que sur la machine de la victime visée en générant une clé unique dérivée de la fonction Windows GetTickCount().

Le dernier malware observé dans cette campagne est PlugY , une porte dérobée complète capable d'exécuter des commandes shell, de surveiller l'écran de la victime, d'enregistrer les frappes au clavier et de capturer le contenu du presse-papiers. PlugY se connecte à un serveur de gestion via TCP, UDP ou des canaux nommés et présente des similitudes avec une porte dérobée connue appelée DRBControl, attribuée à des acteurs de la menace liés à la Chine comme APT27 et APT41.

Atténuation et suppression

Compte tenu de la sophistication de la campagne EastWind, l’atténuation et la suppression de ces menaces nécessitent une approche à plusieurs niveaux :

1. Évitez d'ouvrir des fichiers suspects : n'ouvrez pas de pièces jointes inattendues ou suspectes, en particulier si elles se présentent sous la forme d'archives RAR ou de fichiers LNK. Si vous recevez un tel fichier, vérifiez sa légitimité auprès de l'expéditeur avant de poursuivre.
2. Utilisez des solutions antivirus avancées : utilisez une solution antivirus à jour capable de détecter et de supprimer les menaces avancées telles que GrewApacha, CloudSorcerer et PlugY. Exécutez une analyse complète du système et supprimez toutes les menaces détectées.
3. Systèmes de mise à jour et de correctifs : assurez-vous que votre système d'exploitation, vos logiciels et vos outils de sécurité sont à jour avec les derniers correctifs. Cela permet de combler les vulnérabilités que des logiciels malveillants comme EastWind peuvent exploiter.
4. Surveiller le trafic réseau : surveillez régulièrement le trafic réseau pour détecter toute activité inhabituelle, en particulier les connexions à des serveurs C2 inconnus ou à des services cloud tels que Dropbox, Microsoft Graph et Yandex Cloud. Tout trafic suspect doit être examiné et bloqué.
5. Isoler les systèmes infectés : si une infection est détectée, isolez immédiatement le système affecté du réseau pour éviter toute propagation supplémentaire. Effectuez une enquête approfondie pour identifier et supprimer toute trace du logiciel malveillant.
6. Renforcez la sécurité des e-mails : mettez en œuvre des mesures de sécurité des e-mails robustes, notamment des filtres anti-spam, des protocoles d'authentification des e-mails et une formation des employés pour reconnaître les tentatives de phishing.

La campagne EastWind est un rappel brutal des tactiques évolutives utilisées par les cybercriminels pour percer les défenses et voler des informations sensibles. En restant vigilantes et en employant une stratégie de sécurité complète, les entreprises peuvent se protéger contre cette menace et d’autres menaces avancées. Assurez-vous que vos systèmes sont renforcés contre ces portes dérobées et chevaux de Troie, et prenez des mesures proactives pour détecter et supprimer tout signe d’infection.