Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Google Ties Suspected Russian Actor to CANFAIL Malware Attacks on Ukrainian Orgs

2 minute de lecture

Mis à jour :

Attaque par malware CANFAIL attribuée à un acteur russe ciblant l’Ukraine

Un groupe de cybercriminels récemment identifié, potentiellement lié aux services de renseignement russes, est derrière des attaques visant des organisations ukrainiennes avec le malware CANFAIL. Les cibles incluent les secteurs de la défense, militaire, gouvernemental et énergétique, mais l’intérêt s’étend également à l’aérospatiale, à la fabrication liée à la défense, à la recherche nucléaire et chimique, ainsi qu’aux organisations humanitaires et de surveillance des conflits en Ukraine.

Bien que moins sophistiqué que d’autres groupes russes, cet acteur exploite désormais les grands modèles linguistiques (LLM) pour ses opérations. Il les utilise pour la reconnaissance, la création d’appâts d’ingénierie sociale et pour obtenir des informations techniques.

Les campagnes récentes ont impliqué des tentatives de phishing où l’attaquant se fait passer pour des organisations énergétiques ukrainiennes légitimes afin d’accéder à des comptes e-mail. Il a également usurpé l’identité d’une entreprise énergétique roumaine travaillant avec des clients en Ukraine, et mené des reconnaissances sur des organisations moldaves.

Les chaînes d’attaque utilisent des courriels contenant des liens vers des archives (souvent déguisées en documents PDF avec une double extension) qui hébergent le malware CANFAIL. Ce malware JavaScript obfusqué exécute un script PowerShell qui télécharge et exécute un chargeur en mémoire, tout en affichant un faux message d’erreur à la victime.

Ce même groupe est également associé à la campagne “PhantomCaptcha”, qui ciblait des organisations liées aux efforts de secours en Ukraine via des e-mails de phishing menant à de fausses pages nécessitant l’activation d’instructions pour lancer l’infection.

Points clés :

  • Un nouvel acteur de menace, potentiellement lié à la Russie, cible des organisations ukrainiennes.
  • Utilisation du malware CANFAIL.
  • Exploitation des LLM pour améliorer les techniques d’attaque.
  • Ciblage sectoriel élargi, notamment les organisations liées à la défense et à l’aide humanitaire.
  • Association avec la campagne “PhantomCaptcha”.

Vulnérabilités :

Aucune vulnérabilité spécifique avec numéro CVE n’est explicitement mentionnée dans l’article concernant le malware CANFAIL lui-même. Les attaques reposent sur des techniques d’ingénierie sociale et l’exploitation de la confiance via des e-mails de phishing et des documents malveillants.

Recommandations :

  • Renforcer la vigilance face aux e-mails de phishing, surtout ceux prétendant provenir d’organisations énergétiques ou gouvernementales.
  • Éduquer les employés sur les tactiques d’ingénierie sociale.
  • Mettre en place des mesures de sécurité robustes pour la détection et la prévention des malwares, y compris les scripts PowerShell.
  • Être prudent lors de l’ouverture de pièces jointes ou de liens provenant de sources non fiables.

Source

Vous pourriez aimer