Cybercriminalité : Fighting Ursa utilise une annonce de vente de voiture comme leurre
août 2024 par Palo Alto Networks, l’Unit 42
Un acteur malveillant russe, suivi par l’Unit 42 sous le nom de Fighting Ursa, cabinet de conseil et de recherche/réponse aux cyber menaces de Palo Alto Networks, a utilisé une annonce de vente de voiture comme leurre pour distribuer le malware backdoor HeadLace.
La campagne a probablement ciblé des diplomates et a débuté dès mars 2024. Fighting Ursa (également connu sous les noms APT28, Fancy Bear et Sofacy) est associé aux services de renseignement militaires russes et classé comme menace persistante avancée (APT).
Les leurres de phishing liés à la vente de voitures aux diplomates sont utilisés par des acteurs de menace russes depuis des années. Ces leurres ont tendance à attirer l’attention des diplomates et à inciter les cibles à cliquer sur le contenu malveillant.
Par exemple, en 2023, l’Unit 42 a découvert qu’un autre groupe de menace, Cloaked Ursa (APT29), avait ré-utilisé une annonce de vente de BMW pour cibler les missions diplomatiques en Ukraine. Cette campagne n’est pas directement liée à la campagne Fighting Ursa décrite ici. Cependant, la similarité des tactiques correspond aux comportements connus de Fighting Ursa. Le groupe Fighting Ursa est connu pour réutiliser des tactiques réussies, allant jusqu’à exploiter continuellement des vulnérabilités connues pendant 20 mois après que leur couverture ait été dévoilée.
À propos du malware
Headlace est un malware modulaire. Modulaire signifie que différentes étapes des activités qu’il exécute sont enchaînées à partir de fichiers zip téléchargés ou de téléchargements depuis des sites web externes. Des étapes ont été observées sur des sites d’hébergement de code gratuits tels que Mockbin, Webhook et Infinityfree.
Selon les rapports du secteur, ce malware a pour objectif de collecter et d’exfiltrer les identifiants du système compromis.Ces identifiants seraient très probablement utilisés ultérieurement pour accéder au système et/ou se déplacer latéralement.
Fighting Ursa est un acteur de menace déterminé. L’infrastructure utilisée par le groupe a constamment changé et évolué, comme indiqué dans un rapport récent de Recorded Future. D’autres rapports du secteur ont également montré les différents leurres utilisés par cet acteur pour tenter de d’injecter le malware HeadLace.
L’Unit 42 estime que Fighting Ursa continuera à utiliser des services web légitimes dans son infrastructure d’attaque. Pour se défendre contre ces attaques, les défenseurs doivent limiter l’accès à ces services d’hébergement ou à des services similaires si nécessaire. Si possible, les organisations devraient examiner l’utilisation de ces services gratuits pour identifier d’éventuels vecteurs d’attaque.
Pour rappels
APT 28/Fancy Bear/Ursa est connu pour recycler les tactiques qui fonctionnent, même si l’on sait qu’il utilise ces tactiques - exemple de la recherche de Brady l’année dernière. Bien que nous ne connaissions pas la cible spécifique, nous pensons qu’ils ont ciblé des diplomates.
Comment l’Unit 42 a-t-elle découvert cela ? L’Unit 42 surveille constamment ces acteurs malveillants - l’Unit 42 a dévoilé l’activité sur VirusTotal et avait mené l’analyse. Initialement, l’Unit 42 a supposé qu’il s’agissait de Cloaked Ursa, mais a exclu ce groupe. Les leurres sur le thème de la voiture fonctionnent en Europe.