PicassoLoader utilisé dans des attaques ciblées en Ukraine et en Pologne

Une série de campagnes ciblées a été lancée pour acquérir des informations sensibles et établir un accès à distance persistant aux systèmes compromis en Ukraine et en Pologne. Des organismes gouvernementaux, des organisations militaires et des civils ont été victimes de ces attaques.

S'étendant d'avril 2022 à juillet 2023, ces intrusions utilisent diverses tactiques, notamment des leurres de phishing et des documents leurres. Un malware important utilisé dans ce schéma est PicassoLoader, qui est déployé via un malware téléchargeur. Une fois infectés, les systèmes sont ensuite compromis à l'aide de Cobalt Strike Beacon et njRAT.

La chercheuse de Cisco Talos, Vanja Svajcer, a expliqué que les attaques impliquent plusieurs étapes, à commencer par des documents Microsoft Office malveillants, généralement au format Excel ou PowerPoint. Par la suite, un téléchargeur exécutable et une charge utile dissimulés dans un fichier image sont utilisés pour échapper à la détection.

L'acteur de la menace GhostWriter, également connu sous le nom d'UAC-0057 ou UNC1151, serait responsable de certaines de ces activités. Leurs motivations s'alignent sur celles du gouvernement biélorusse.

Il convient de noter qu'un sous-ensemble de ces attaques a déjà été signalé l'année dernière par le CERT-UA ukrainien et Fortinet FortiGuard Labs. Un cas impliquait l'utilisation de documents PowerPoint chargés de macros pour distribuer le logiciel malveillant Agent Tesla en juillet 2022.

Les chaînes d'infection sont conçues pour persuader les victimes d'activer les macros, ce qui conduit au déploiement d'un téléchargeur de DLL appelé PicassoLoader. Ce téléchargeur communique ensuite avec un site Web contrôlé par l'attaquant pour récupérer le logiciel malveillant final, qui est intégré dans un fichier image légitime.

Le CERT-UA a récemment révélé une série d'opérations de phishing distribuant le malware SmokeLoader, ainsi qu'une attaque par smishing visant à prendre le contrôle non autorisé des comptes Telegram.

Plus d'acteurs menaçants ciblant l'Ukraine

Dans un autre incident, le CERT-UA a révélé une campagne de cyberespionnage ciblant des organisations étatiques et des représentants des médias en Ukraine. Cette campagne utilisait des e-mails et des messageries instantanées pour distribuer des fichiers qui, une fois lancés, exécutaient un script PowerShell appelé LONEPAGE. Ce script a récupéré les charges utiles de la prochaine étape, telles qu'un voleur de navigateur (THUMBCHOP) et un enregistreur de frappe (CLOGFLAG).

GhostWriter n'est que l'un des nombreux acteurs de la menace qui ont ciblé l'Ukraine. APT28, un groupe d'États-nations russes, est également connu pour avoir utilisé des pièces jointes HTML dans des e-mails de phishing. Ces e-mails invitent les destinataires à modifier leurs mots de passe pour UKR.NET et Yahoo! comptes en raison d'activités suspectes présumées. Cependant, les liens redirigent les victimes vers de fausses pages de destination conçues pour voler leurs informations d'identification.

Ces développements coïncident avec l'adoption par les pirates du renseignement militaire russe (GRU) d'un "livre de jeu standard en cinq phases" pour leurs opérations perturbatrices contre l'Ukraine. Cette stratégie vise à intensifier la vitesse, l'ampleur et l'impact de leurs attaques.