UAC-0050 Targets European Financial Institution With Spoofed Domain and RMS Malware

Mercenary Akula cible une institution financière européenne

Un groupe cybercriminel affilié à la Russie, connu sous le nom d’UAC-0050 (également appelé DaVinci Group ou Mercenary Akula), a pris pour cible une institution financière européenne. Cette attaque, qui s’appuie sur des techniques d’ingénierie sociale, vise probablement la collecte de renseignements ou le vol financier, marquant une potentielle extension des activités de ce groupe au-delà de l’Ukraine.

L’attaque a débuté par un courriel d’hameçonnage ciblant un conseiller juridique et politique senior impliqué dans les achats. Ce courriel utilisait une usurpation de domaine judiciaire ukrainien et contenait un lien vers un fichier hébergé sur PixelDrain, un service de partage de fichiers, afin de contourner les contrôles de sécurité.

Le fichier ZIP initial déclenchait une chaîne d’infection complexe, incluant une archive RAR contenant un fichier 7-Zip protégé par mot de passe. Ce dernier renfermait un exécutable se faisant passer pour un document PDF en utilisant la technique du double suffixe (*.pdf.exe).

L’exécution de ce fichier aboutissait au déploiement du logiciel de bureau à distance RMS (Remote Manipulator System). Il s’agit d’un outil russe permettant le contrôle à distance, le partage de bureau et le transfert de fichiers. L’utilisation de tels outils “living-off-the-land” permet aux attaquants d’obtenir un accès furtif et persistant, tout en évitant souvent la détection par les antivirus traditionnels. L’emploi de RMS est cohérent avec les actions passées d’UAC-0050, qui a déjà utilisé des logiciels de contrôle à distance légitimes et des chevaux de Troie dans des attaques visant l’Ukraine.

Le CERT-UA a caractérisé UAC-0050 comme un groupe mercenaire lié aux forces de l’ordre russes, menant des opérations de collecte de données, de vol financier et des opérations d’information et psychologiques sous la marque “Fire Cells”. Cette récente attaque suggère que le groupe pourrait commencer à sonder des institutions soutenant l’Ukraine en Europe occidentale, au-delà de son ciblage habituel d’entités basées en Ukraine.

Points clés :

• Acteur de la menace : UAC-0050 (DaVinci Group / Mercenary Akula)
• Cible : Institution financière européenne impliquée dans des initiatives de développement et de reconstruction régionales.
• Objectif présumé : Collecte de renseignements ou vol financier.
• Techniques : Ingénierie sociale, hameçonnage ciblé (spear-phishing), usurpation de domaine, utilisation de services de partage de fichiers pour contourner la sécurité, chaîne d’infection multicouche, masquage d’exécutables, utilisation de logiciels de contrôle à distance légitimes.
• Élargissement du ciblage : Potentielle extension des attaques d’entités ukrainiennes vers des institutions européennes soutenant l’Ukraine.

Vulnérabilités exploitées (générales) :

• Ingénierie sociale et confiance des utilisateurs : Les attaquants exploitent la crédulité des employés via des courriels semblant légitimes.
• Contournement des contrôles de sécurité : Utilisation de services externes (PixelDrain) et de techniques de masquage de fichiers (double suffixe) pour échapper à la détection.
• Utilisation de logiciels légitimes (Living-off-the-land) : Les outils comme RMS, bien qu’utiles pour la gestion légitime, peuvent être détournés par les attaquants pour opérer de manière furtive.

(Aucun numéro CVE spécifique n’est mentionné dans l’article pour cette attaque particulière.)

Recommandations :

• Sensibilisation à la cybersécurité : Former les employés à identifier les courriels d’hameçonnage, les liens suspects et les pièces jointes inattendues.
• Vérification des domaines et des expéditeurs : Encourager une vérification rigoureuse des adresses e-mail et des noms de domaine, surtout lorsqu’ils semblent inhabituels ou inhabituels pour le contexte.
• Politiques de sécurité robustes : Mettre en œuvre des politiques strictes concernant le téléchargement de fichiers à partir de sources non fiables et l’ouverture de pièces jointes.
• Solutions de sécurité avancées : Utiliser des solutions de sécurité endpoint et de messagerie capables de détecter les comportements suspects, le masquage de fichiers et l’utilisation de logiciels potentiellement indésirables.
• Gestion des accès : Appliquer le principe du moindre privilège et surveiller les accès aux systèmes sensibles, en particulier ceux liés aux données financières et opérationnelles.
• Surveillance et journalisation : Mettre en place une surveillance continue des réseaux et des systèmes pour détecter toute activité anormale ou signes d’infection.

Source