Une campagne d'hameçonnage cible les fonctionnaires de l'UE travaillant avec des réfugiés ukrainiens

Alors que la guerre en Ukraine se poursuit, des chercheurs en sécurité ont découvert ce qui ressemble à une nouvelle tentative de cyberguerre secrète. Cette fois, les acteurs de la menace ont ciblé le personnel et les fonctionnaires de l'Union européenne qui travaillent avec des réfugiés ukrainiens fuyant leur pays déchiré par la guerre.

L'attaque de phishing utilise un e-mail compromis

Des chercheurs de la société de sécurité Proofpoint ont publié un rapport sur l'attaque. Selon Proofpoint, un acteur "probable" soutenu par l'État cible les responsables gouvernementaux européens qui travaillent à la gestion de la vague de réfugiés en provenance d'Ukraine. L'attaque de phishing a été menée à l'aide d'une adresse e-mail appartenant à l'armée ukrainienne, qui a déjà été compromise par l'auteur de la menace.

La charge utile contenue dans l'e-mail de phishing comprend un fichier Excel joint nommé "liste de personnes.xlsx" qui contient des macros malveillantes intégrées. Si elle est exécutée, la macro tente de récupérer une charge utile secondaire malveillante écrite en Lua et appelée "SunSeed". L'e-mail à l'origine des messages de phishing appartient à un membre de l'armée ukrainienne et à un domaine de messagerie ukr.net.

En ce qui concerne l'aspect d'ingénierie sociale des e-mails de phishing, le message est venu avec la ligne d'objet "CONFORMÉMENT À LA DÉCISION DE LA RÉUNION D'URGENCE DU CONSEIL DE SÉCURITÉ D'UKRAINE EN DATE DU 24.02.2022". Cela était lié à la réunion d'urgence tenue par le Conseil de sécurité de l'OTAN le jour précédant la date indiquée dans le titre du courrier électronique. Le nom de fichier de la pièce jointe, d'autre part, était destiné à invoquer la "kill list" des cibles ukrainiennes qui ont fait la une des journaux fin février.

Comment fonctionne le logiciel malveillant SunSeed

La charge utile installe un certain nombre de dépendances Lua, puis exécute le script SunSeed Lua malveillant, et enfin configure la persistance grâce à l'utilisation d'un fichier de raccourci .lnk. Il existe également une version modifiée d'un interpréteur de code Lua légitime installé. L'interpréteur en question s'appelle sppsvc.exe et cette version particulière a été modifiée afin qu'elle n'affiche rien sur la console Windows, dans le but de dissimuler l'activité du malware.

Le fichier de raccourci utilisé pour la persistance s'appelle Software Protection Service.lnk et est créé sous ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.

Malgré la conviction de Proofpoint qu'il s'agit d'une entité soutenue par l'État, il n'y a aucune preuve tangible indiquant un groupe spécifique dans un pays spécifique. Ce rapport arrive à un moment où plus d'un million d'Ukrainiens auraient fui le pays et chercheraient refuge au-delà des frontières de l'Ukraine. L'afflux de réfugiés ukrainiens a même incité le Japon, qui avait traditionnellement des quotas annuels de réfugiés extrêmement bas, à ouvrir ses frontières aux personnes fuyant la guerre.