ESET Research dresse le bilan des campagnes de spearphishing du groupe APT Gamaredon contre l’Ukraine

Par
Monia
-
0
    • En 2024, Gamaredon s’est recentré exclusivement sur des institutions gouvernementales ukrainiennes.
    • Ce groupe a considérablement augmenté l’ampleur et la fréquence de ses campagnes de spearphishing, en utilisant de nouvelles méthodes de diffusion.
    • Gamaredon a introduit six nouveaux outils malveillants, reposant sur PowerShell et VBScript, conçus principalement pour atteindre une furtivité et une persistance maximale, ainsi que d’opérer des mouvements latéraux discrets et efficaces.
    • Les opérateurs de Gamaredon ont réussi à dissimuler la quasi-totalité de leur infrastructure C&C derrière des tunnels Cloudflare.
    • Pour protéger son infrastructure C&C, Gamaredon à recourt de plus en plus fréquemment à des services tiers (Telegram, Telegraph, Cloudflare, Dropbox).

    La-Femme (ESET) –ESET Research a publié un livre blanc décrivant la mise à jour des outils de cyberespionnage de Gamaredon, ses nouvelles techniques orientées vers plus de furtivité et les opérations agressives de spearphishing observées au cours de l’année passée.

    Gamaredon est attribué par le Service de Sécurité Ukrainien (SSU) au 18e Centre de sécurité de l’information du Service fédéral de sécurité russe (FSB). Celui-ci cible les institutions gouvernementales ukrainiennes depuis au moins 2013. En 2024, Gamaredon a attaqué exclusivement les institutions ukrainiennes. Les dernières recherches d’ESET montrent que le groupe est très actif, ciblant en permanence l’Ukraine. Tout en adaptant considérablement ses tactiques et ses outils. L’objectif du groupe est le cyberespionnage aligné sur les intérêts géopolitiques russes. L’année dernière, le groupe a considérablement augmenté l’ampleur et la fréquence des campagnes de spearphishing, en utilisant de nouvelles méthodes d’envoi. Élément notable, une charge utile a été utilisée uniquement pour diffuser la propagande russe.

    « Gamaredon est un acteur majeur en raison de sa capacité d’innovation continue, de ses campagnes agressives de spearphishing et de ses efforts continus pour échapper aux détections. Tant que le conflit se poursuivra, nous anticipons que Gamaredon fera évoluer ses tactiques et continuera à intensifier ses opérations de cyberespionnage contre les institutions ukrainiennes », commente M. Zoltán Rusnák, chercheur ESET qui suit les activités de Gamaredon..

    Les activités de spearphishing de Gamaredon se sont considérablement intensifiées au cours du second semestre 2024, menant des campagnes de un à cinq jours consécutifs. Les e-mails contenaient des archives malveillantes (RAR, ZIP, 7z) ou des fichiers XHTML utilisant des techniques de contentement HTML. Ces fichiers contenaient des fichiers HTA ou LNK malveillants qui exécutaient des téléchargeurs VBScript intégrés, tels que PteroSand. En octobre 2024, ESET a observé un rare cas où les e-mails de spearphishing comprenaient des hyperliens malveillants au lieu de pièces jointes – un écart par rapport aux tactiques habituelles de Gamaredon. En outre, Gamaredon a introduit une autre technique novatrice : l’utilisation de fichiers LNK malveillants pour exécuter des commandes PowerShell directement à partir de domaines générés par Cloudflare, en contournant certains mécanismes de détection traditionnels.

    L’ensemble d’outils de Gamaredon a subi plusieurs mises à jour notables. Bien que moins de nouveaux outils aient été introduits, des ressources substantielles ont été consacrées à la mise à jour et à l’amélioration des outils existants. Les nouveaux outils ont été conçus principalement pour atteindre un haut niveau de furtivité, de persistance et de capacité de mouvement latéral. Les outils existants ont reçu des mises à niveau majeures, notamment une obfuscation améliorée, des tactiques de furtivité améliorées et des méthodes sophistiquées pour les mouvements latéraux et l’exfiltration de données.

    « Une découverte particulièrement intrigante a été faite en juillet 2024 : Une charge utile VBScript ad hoc unique, fournie par les téléchargeurs de Gamaredon. Cet élément n’avait aucune fonctionnalité d’espionnage. Son seul but était d’ouvrir automatiquement une chaîne de propagande Telegram nommée Gardiens d’Odessa, qui diffuse des messages pro-russes ciblant la région d’Odessa », explique Zoltán Rusnák, chercheur ESET, qui suit les activités de Gamaredon.

    Pour une analyse complète et des éléments techniques sur les outils utilisés par le groupe Gamaredon, consultez le livre blanc d’ESET Research, « Gamaredon in 2024: Cranking out spearphishing campaigns against Ukraine with an evolved toolset », sur WeLiveSecurity.com.

    À propos d’ESET

    ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.

    Pour plus d’informations, consultez www.eset.com/fr
    et suivez-nous sur LinkedInFacebook et Instagram.

ARTICLES CONNEXESPLUS DE L'AUTEUR