Ghostwriter Targets Ukraine Government Entities with Prometheus Phishing Malware

Campagne de cyberespionnage Ghostwriter contre les entités ukrainiennes

Le groupe cybercriminel Ghostwriter (alias UAC-0057 / UNC1151) mène une campagne de phishing ciblée contre des organisations gouvernementales ukrainiennes en utilisant des leurres liés à la plateforme éducative « Prometheus ».

Points clés :

• Vecteur d’attaque : Utilisation de comptes compromis pour envoyer des emails de phishing contenant des liens vers des archives ZIP malveillantes.
• Chaîne d’infection : L’exécution d’un fichier JavaScript (OYSTERFRESH) affiche un document leurre pour tromper l’utilisateur. En parallèle, il installe une charge utile chiffrée (OYSTERBLUES) dans le Registre Windows et télécharge un décodeur (OYSTERSHUCK).
• Objectifs : Exfiltration d’informations système (nom de machine, utilisateur, version OS, processus actifs) vers un serveur C2, suivie par le déploiement de Cobalt Strike pour la post-exploitation.
• Contexte : Cette activité s’inscrit dans une tendance plus large où les groupes soutenus par le Kremlin utilisent l’ingénierie sociale, des accès VPN/RDP compromis et l’IA pour renforcer leurs opérations d’espionnage et d’influence.

Vulnérabilités :

• Aucune CVE spécifique n’est mentionnée. L’attaque repose sur l’exécution de scripts via wscript.exe et l’abus de frameworks légitimes (Cobalt Strike).

Recommandations :

• Durcissement système : Restreindre strictement la capacité d’exécution de wscript.exe pour les comptes utilisateurs standards.
• Hygiène numérique : Appliquer les bonnes pratiques contre le phishing, notamment la vigilance face aux pièces jointes inattendues.
• Sécurisation des accès : Auditer et renforcer les accès RDP et VPN, principaux vecteurs d’entrée identifiés par le Conseil de sécurité ukrainien.

Source