RoarBAT Malware repéré par le CERT ukrainien
L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a signalé une campagne de phishing en cours qui utilise des leurres sur le thème des factures pour propager le malware SmokeLoader. Les e-mails sont envoyés à partir de comptes compromis et contiennent une archive ZIP qui est en fait un fichier polyglotte avec un document leurre et un fichier JavaScript. Ce fichier est utilisé pour exécuter le malware SmokeLoader, dont le but est de télécharger des malwares plus efficaces sur les systèmes infectés. Le CERT-UA a attribué cette activité à l'UAC-0006, un acteur malveillant à motivation financière qui cherche à voler des informations d'identification et à transférer des fonds sans autorisation.
De plus, l'autorité ukrainienne de cybersécurité a révélé une attaque destructrice contre des organisations du secteur public menée par UAC-0165, un groupe que le CERT-UA a modérément attribué au groupe Sandworm. L'attaque impliquait un logiciel malveillant d'effacement basé sur un script batch appelé RoarBAT qui recherchait de manière récursive des fichiers avec des extensions spécifiques et les supprimait à l'aide de l'utilitaire WinRAR légitime. Le groupe a également compromis les systèmes Linux en utilisant un script bash qui écrase les fichiers avec zéro octet pour éviter la détection.
L'attaque a été facilitée par le manque de MFA lors des connexions à distance au VPN. L'impact destructeur de l'attaque a endommagé les ordinateurs électroniques, les équipements de serveur, les postes de travail automatisés des utilisateurs et les systèmes de stockage de données.
Que sont les acteurs de menaces persistantes avancées ?
Les acteurs des menaces persistantes avancées (APT) sont des cyberattaquants hautement qualifiés et motivés qui mènent des campagnes de cyberespionnage ciblées à long terme contre des cibles spécifiques telles que des agences gouvernementales, des infrastructures critiques ou de grandes entreprises. Ces attaquants utilisent des techniques sophistiquées pour obtenir un accès non autorisé à des informations et des systèmes sensibles, dans le but de voler une propriété intellectuelle précieuse, des informations classifiées ou des données financières.
Les APT utilisent généralement une combinaison de tactiques, telles que le harponnage, l'ingénierie sociale, les logiciels malveillants et les outils d'accès à distance pour accéder aux systèmes ciblés. Une fois qu'ils y ont accès, les acteurs APT peuvent s'implanter dans le réseau, se déplacer latéralement dans l'environnement cible et rester non détectés pendant de longues périodes pendant qu'ils exfiltrent les données.
Les acteurs APT sont souvent parrainés par l'État, avec le soutien d'États-nations ou d'autres grandes organisations qui disposent de ressources importantes pour soutenir leurs cyberopérations. Cependant, ils peuvent également avoir des motivations financières, travaillant pour le compte d'organisations criminelles cherchant à voler des données précieuses à des fins lucratives.
La défense contre les attaques APT nécessite une approche à multiples facettes qui comprend des capacités avancées de détection et de réponse aux menaces, de solides pratiques d'hygiène de sécurité et une surveillance continue de l'activité du réseau pour détecter les signes de comportement suspect.
