UAC-0247 Targets Ukrainian Clinics and Government in Data-Theft Malware Campaign
Mis à jour :
Campagne de cyberespionnage UAC-0247 contre les institutions ukrainiennes
Le groupe UAC-0247 mène une campagne de vol de données visant principalement les cliniques, les hôpitaux d’urgence et les organismes gouvernementaux ukrainiens. L’attaque exploite des leurres liés à l’aide humanitaire pour infecter les systèmes via des fichiers LNK et HTA, permettant l’exécution de code à distance et l’exfiltration d’informations sensibles (identifiants de navigateurs Chromium et données WhatsApp).
Points clés :
- Vecteur d’attaque : Emails d’hameçonnage utilisant des liens vers des sites compromis (via XSS) ou des pages frauduleuses générées par IA.
- Outils malveillants : Utilisation de loaders à deux étages, de shells inverses (RAVENSHELL), de scripts PowerShell (SILENTLOOP) et du malware AGINGFLY pour le contrôle à distance.
- Techniques de post-exploitation : Utilisation d’outils open-source pour le scan réseau, le tunneling (Ligolo-Ng, Chisel) et le vol de données (ChromElevator pour contourner le chiffrement de Chromium, ZAPiXDESK pour WhatsApp).
- Cibles étendues : Des membres des forces de défense ukrainiennes ont également été visés via Signal, utilisant le DLL side-loading.
Vulnérabilités :
- XSS (Cross-Site Scripting) : Utilisé pour rediriger les victimes vers des sites malveillants à partir de sites web légitimes compromis.
Recommandations :
- Restriction d’exécution : Bloquer ou restreindre strictement l’exécution des fichiers LNK, HTA et JS.
- Contrôle des utilitaires système : Restreindre l’accès et l’utilisation d’outils natifs souvent détournés par les attaquants tels que
mshta.exe,powershell.exeetwscript.exe. - Vigilance accrue : Sensibiliser le personnel aux e-mails non sollicités concernant l’aide humanitaire et éviter le téléchargement de fichiers provenant de sources non vérifiées via des messageries chiffrées comme Signal.