Les pirates informatiques ciblent les agences gouvernementales ukrainiennes avec de nouvelles attaques exploitant les exploits de Zimbra et des attaques de phishing poussant le malware IcedID.
L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a détecté les nouvelles campagnes et a attribué l’attaque de phishing IcedID au cluster de menaces UAC-0041, précédemment lié à la distribution AgentTesla, et le second à UAC-0097, un acteur actuellement inconnu.
Bien que les attributions soient modérément fiables, il s’agit d’un autre aperçu de la cyberactivité malveillante ciblant les entités ukrainiennes.
Dans les deux cas, l’objectif des acteurs de la menace est d’accéder aux réseaux internes pour effectuer du cyberespionnage sur les agences gouvernementales ukrainiennes les plus critiques.
IcedID infecte les organisations d’État
Le premier rapport décrit une campagne de distribution de documents XLS nommée « Mobilization Register.xls », atteignant de nombreux destinataires.
L’ouverture du document demande à l’utilisateur d' »activer le contenu » pour l’affichage, ce qui entraîne l’exécution d’une macro malveillante pour télécharger et exécuter un fichier malveillant.
Ce fichier est le logiciel malveillant GzipLoader, qui récupère, décrypte et exécute la charge utile finale, IcedID (alias BankBot).
IcedID est un cheval de Troie bancaire modulaire qui peut être utilisé pour voler des informations d’identification de compte ou comme chargeur de logiciels malveillants supplémentaires de deuxième étape tels que Cobalt Strike, des rançongiciels, des essuie-glaces, etc.
Espionner les mails du gouvernement
Le deuxième rapport concerne un e-mail envoyé à des agences gouvernementales en Ukraine, avec des images jointes prétendument d’un événement où le président V. Zelensky a récompensé des membres des forces armées.
Les images jointes contiennent un en-tête de localisation de contenu qui renvoie à une ressource Web hébergeant du code JavaScript qui déclenche l’exploitation de Zimbra CVE-2018-6882 vulnérabilité.
Cette vulnérabilité de script intersite affecte les versions 8.7 et antérieures de Zimbra Collaboration Suite, permettant aux attaquants distants d’injecter un script Web ou HTML arbitraire via un en-tête de localisation de contenu dans les pièces jointes des e-mails.
Zimbra est une plate-forme de messagerie et de collaboration qui comprend également des fonctionnalités de messagerie instantanée, de contacts, de vidéoconférence, de partage de fichiers et de stockage dans le cloud.
Dans ce cas, l’exploitation de la faille ajoute une règle de transfert des e-mails de la victime vers une nouvelle adresse sous le contrôle de l’acteur de la menace, ce qui est clairement un mouvement de soutien à l’espionnage.
Il convient de noter que Zimbra a eu un problème XSS similaire plus tôt cette année, affectant les versions 8.8.15 P29 et P30 les plus récentes de la suite.
Cette faille a été activement exploitée en tant que zero-day par des acteurs chinois de la menace qui l’ont utilisée pour voler les e-mails des médias européens et des organisations gouvernementales.
En tant que tel, le CERT-UA conseille à toutes les organisations en Ukraine utilisant Zimbra de mettre à jour immédiatement les dernières versions disponibles de la suite.