Faille WinRAR : Le logiciel malveillant LONEPAGE frappe les entreprises ukrainiennes
Dans le domaine de la cybersécurité, la vigilance est de mise, et les récents développements révèlent une menace persistante à laquelle sont confrontées les entités ukrainiennes. Au cours de la période mi-2023le CERT ukrainien a publié l'avis n°6710, démasquant un acteur de la menace identifié sous le nom de "UAC-0099". "UAC-0099". Les activités de cet acteur et son arsenal d'outils ont été succinctement décrits dans l'avis. Dans cet article de blog, nous allons examiner les détails complexes de la menace persistante de cybersécurité posée par le logiciel malveillant LONEPAGE. Nous découvrirons également ses tactiques et l'évolution du paysage des attaques ciblées contre les entreprises ukrainiennes.
Malware LONEPAGE : L'assaut continu de l'UAC-0099 sur l'Ukraine
Depuis la publication de l'avis du CERT-UA, Deep Instinct a découvert nouvelles attaques de logiciels malveillants orchestrées par UAC-0099, ciblant spécifiquement des entités ukrainiennes. UAC-0099 emploie notamment une stratégie astucieuse, déployant de fausses citations à comparaître pour inciter des cibles ukrainiennes peu méfiantes à exécuter des fichiers malveillants. La cybersécurité des entreprises ukrainiennes est une priorité absolue dans le paysage numérique en constante évolution, nécessitant des stratégies solides pour atténuer les risques et renforcer les défenses contre les cybermenaces émergentes.
UAC-0099 et exploits WinRAR
UAC-0099 a été impliqué dans une série d'attaques contre l'Ukraine, exploitant une faille critique dans le logiciel WinRAR pour propager le logiciel malveillant LONEPAGE. logiciel malveillant LONEPAGE. Selon la société de cybersécurité Deep Instinct, cet acteur de la menace a jeté son dévolu sur des employés ukrainiens affiliés à des sociétés internationales.
Dans une analyse détaillée, Deep Instinct a révélé que les vecteurs d'attaque de UAC-0099 comprennent des messages d'hameçonnage contenant des pièces jointes de type HTA, RAR et LNK. Ces pièces jointes, une fois activées, déclenchent le déploiement de LONEPAGE, un logiciel malveillant de type Visual Basic Script (VBS). LONEPAGE est capable d'établir une communication avec un serveur de commande et de contrôle (C2) et de récupérer des charges utiles supplémentaires telles que des enregistreurs de frappe, des voleurs et des logiciels malveillants de capture d'écran.
Une chronologie de l'intrusion
Les origines de UAC-0099 remontent à juin 2023, lorsque le CERT-UA a documenté pour la première fois les activités de l'acteur de la menace. Le rapport relatif à ces tendances en matière de cybersécurité met en évidence les attaques d'espionnage menées par l'UAC-0099 contre des organisations d'État et des entités médiatiques en Ukraine. Il est inquiétant de constater que de nombreux ordinateurs ukrainiens ont fait l'objet d'un accès à distance non autorisé entre 2022 et 2023. Dans ce contexte, on peut affirmer que la mise en œuvre de mesures rigoureuses de mesures de sécurité des données est essentielle pour protéger les informations sensibles.
Des vecteurs d'attaque variés
La dernière analyse de Deep Instinct révèle trois chaînes d'infection distinctes utilisées par UAC-0099. La première implique des pièces jointes HTA, tandis que les deux autres exploitent des archives auto-extractibles (SFX) et des fichiers ZIP malveillants. Dans le cas des fichiers ZIP, UAC-0099 exploite la vulnérabilité WinRAR (CVE-2023-38831, CVSS score : 7.8) pour diffuser le malware logiciel malveillant LONEPAGE.
Tactiques trompeuses
Le fichier SFX contient un raccourci LNK camouflé en fichier DOCX pour une citation à comparaître. En utilisant l'icône Microsoft WordPad, l'auteur de la menace incite les victimes à ouvrir le fichier, ce qui entraîne l'exécution d'un code PowerShell malveillant qui libère le logiciel malveillant LONEPAGE.
La deuxième séquence d'attaque implique une archive ZIP méticuleusement conçue et susceptible d'être affectée par la vulnérabilité CVE-2023-38831. Deep Instinct a identifié deux artefacts de ce type créés par UAC-0099 le 5 août 2023, trois jours seulement après la publication par WinRAR d'un correctif pour la vulnérabilité. Malgré des vecteurs d'infection initiaux différents, la méthode d'infection principale reste cohérente, reposant sur PowerShell et la création d'une tâche planifiée exécutant un fichier VBS.
Le paysage des cybermenaces : Une nouvelle vague
Parallèlement à ces révélations, le CERT-UA a émis un avertissement concernant une nouvelle vague de messages de phishing se faisant passer pour des cotisations Kyivstar exceptionnelles. Ces messages visent à propager un cheval de Troie d'accès à distance connu sous le nom de Remcos RAT, la campagne étant attribuée à UAC-0050. Les vulnérabilités de WinRAR constituent un risque important pour la cybersécurité, ce qui souligne l'importance d'appliquer rapidement des correctifs et des mesures proactives pour sécuriser les systèmes et les protéger contre les exploits potentiels.
Conclusion
Le paysage des cybermenaces 2023 est dynamique, et les activités de l'UAC-0099 soulignent la nécessité d'une vigilance sans faille. Il est essentiel de comprendre leurs tactiques et les vulnérabilités qu'ils exploitent pour renforcer les défenses. Les organisations, en particulier celles qui ont des liens avec l'Ukraine, doivent donner la priorité aux mesures de cybersécurité afin de contrecarrer l'évolution des menaces. incidents de cybersécurité ukrainiens et assurer la sécurité de leur infrastructure numérique. À mesure que le paysage de la cybersécurité évolue, il convient de se tenir informé et d'appliquer les pratiques exemplaires en matière de cybersécurité restent la clé de la protection contre ces menaces insidieuses.
Les sources de cet article comprennent des articles dans The Hacker News et Deep Instinct.