💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Image composée de deux bandes horizontales. Partie supérieure en fleurs bleues. Partie inférieure en fleurs jaunes. Agencement rappelant le drapeau ukrainien. Signature « dcod » en bas à droite. Aucun visage.

Des cyberattaques furtives en Ukraine utilisant des outils Windows légitimes

Des groupes russes exploitent des outils Windows natifs pour infiltrer des réseaux ukrainiens, voler des données sensibles et maintenir un accès persistant discret.

En bref

  • Des acteurs russes ont ciblé une grande entreprise de services et une administration locale en Ukraine, cherchant à collecter des données sensibles et à rester présents sur les réseaux.
  • Les attaquants ont privilégié des outils déjà présents dans les systèmes Windows, réduisant l’usage de logiciels malveillants afin de limiter les traces et éviter la détection.
  • Un webshell nommé Localolive a été utilisé pour obtenir un accès initial et déployer des actions d’espionnage, notamment la récupération de mots de passe et l’activation d’accès distants.
  • Des indices suggèrent un lien possible avec le groupe Sandworm, connu pour des campagnes d’espionnage et de sabotage en Ukraine, mais sans confirmation formelle.

Les attaques ont visé des organisations en Ukraine afin de collecter des informations sensibles et de maintenir un accès discret à leurs réseaux. Les équipes d’analyse soulignent que ces opérations reposaient principalement sur l’usage de programmes déjà installés dans les systèmes compromis, une approche permettant de réduire les alertes de sécurité et de rester longtemps sans être détecté. Selon SecurityAffairs, une intrusion contre une grande entreprise de services a duré environ deux mois, tandis qu’une administration locale a été touchée pendant une semaine. Les attaquants ont utilisé des vulnérabilités non corrigées pour poser un webshell, puis ont exécuté des commandes de reconnaissance et mis en place des mécanismes d’accès persistant.

Tactiques d’infiltration discrète et persistance dans les réseaux

L’intrusion observée commence par l’exploitation de failles non corrigées dans des systèmes exposés sur Internet. Les attaquants ont installé un webshell, permettant de communiquer avec les serveurs compromis sans dépendre d’outils externes visibles par les systèmes de défense.

Après cette première étape, les attaquants ont procédé à une reconnaissance interne des réseaux afin de comprendre leur fonctionnement, d’identifier les comptes administrateurs, les serveurs critiques et les systèmes contenant des informations sensibles. Ils ont exécuté des commandes système pour lister les utilisateurs, les processus en cours et les configurations d’environnement. De plus, la désactivation des analyses antivirus sur certains dossiers a permis de lancer des exécutables suspects sans alerte. Les fichiers stockés dans le dossier Téléchargements ont servi de zone tampon pour exécuter des programmes temporaires.

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

Pour maintenir leur accès, les attaquants ont mis en place des tâches planifiées générant des copies régulières de la mémoire vive. Cela leur a permis de récupérer des identifiants de connexion et d’accéder à d’autres machines de manière latérale. Des outils d’administration légitimes comme PowerShell ont été mobilisés pour contourner les contrôles de sécurité. Un serveur OpenSSH a également été installé afin de créer un canal d’accès distant. Dans certains cas, les attaquants ont cherché à obtenir des informations stockées dans des coffres de mots de passe, en ciblant notamment des processus associés à des gestionnaires d’identifiants.

Attribution possible et contexte opérationnel plus large

L’ensemble des techniques utilisées présente des similitudes avec les méthodes connues du groupe Sandworm, actif depuis de nombreuses années dans des campagnes d’espionnage et de sabotage. Sandworm est déjà lié à plusieurs opérations majeures en Ukraine, incluant des attaques visant des infrastructures critiques. Toutefois, l’attribution exacte de cette nouvelle campagne reste prudente, les équipes d’analyse indiquant que les éléments recueillis suggèrent une origine russe sans confirmation formelle.

Le rapport mentionne également la présence d’un outil de gestion de routeurs MikroTik, winbox64.exe, déjà observé dans de précédentes campagnes associées à ce groupe. Ce fichier a été retrouvé dans le dossier Téléchargements des systèmes compromis, laissant penser à une tentative d’administration ou de déplacement latéral via des équipements réseau.

Selon une analyse publiée sur TheHackerNews, cette campagne s’inscrit dans un contexte plus large où plusieurs groupes d’origine russe conduisent des opérations d’espionnage numérique contre l’Ukraine. Les équipes de défense notent que ces opérations reposent de plus en plus sur des outils légitimes déjà intégrés aux systèmes d’exploitation, réduisant l’usage de logiciels malveillants conçus sur mesure. Cette tendance accroît la difficulté d’identification rapide des intrusions et complique la réponse des équipes de sécurité.

La persistance sur une longue durée, l’usage d’outils natifs du système et la recherche de données d’identification montrent une volonté de contrôle stable des réseaux compromis plutôt qu’une action destructrice immédiate. Cela suggère des objectifs stratégiques, comme la collecte d’informations sur les opérations internes, l’accès à des plans organisationnels ou des données utiles aux prises de décision.

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

🤔Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏