Une campagne de cyberattaques ciblant les agences gouvernementales ukrainiennes avec le logiciel malveillant MicroBackdoor a été confirmée par l’équipe d’intervention d’urgence informatique (CERT-UA) du pays.

Dans un communiqué publié en début de semaine (7 mars), le CERT-UA a confirmé que des organisations gouvernementales ont été la cible de plusieurs attaques malveillantes.

Selon les renseignements recueillis par l’agence, des e-mails de phishing contenant un fichier nommé ‘dovidka.zip’, qui contient un fichier d’aide contextuelle (Microsoft Compiled HTML Help) ‘dovidka.chm’.

Le fichier contenait l’image d’appât ‘image.jpg’, qui, selon le CERT-UA, était une information sur la procédure pour les bombardements d’artillerie fréquents, et le fichier HTA ‘file.htm’ qui contenait du code malveillant en VBScript.

L’exécution du code malveillant entraînerait l’exécution du dropper ‘ignit.vbs’, qui décode le chargeur .NET ‘core.dll’, exécutant plus tard le malware MicroBackdoor.

Attaques préméditées ?

Selon le CERT-UA, la porte dérobée et le chargeur ont été créés en janvier 2022, avant l’invasion du pays par la Russie.

L’agence affirme que la campagne de logiciels malveillants présente des similitudes avec les activités du groupe de menaces UAC-0051, également connu sous le nom de « unc1151 », qui selon Mandiant a des liens avec le gouvernement biélorusse.

Le déclaration du CERT-UA contient de plus amples informations sur l’attaque.

La Russie a envahi l’Ukraine le 24 février. Depuis, plusieurs cyberattaques ont visé des organisations à travers le pays.

Comme rapporté précédemment par La gorgée quotidienneune nouvelle souche de logiciels malveillants d’effacement de données a également fait surface dans ce pays d’Europe de l’Est.

L’effaceur de données spécifique à Windows est apparu sur « des centaines de machines », selon la télémétrie de la société de sécurité informatique ESET.

Bien que principalement dirigée vers l’Ukraine, la nouvelle souche de logiciels malveillants « HermeticWiper » a également été détectée dans les États baltes de Lettonie et de Lituanie.

Les horodatages sur le malware indiquent qu’il a été compilé il y a deux mois – preuve que l’attaque était peut-être préméditée.

Les victimes de la campagne de logiciels malveillants comprennent des organisations financières et des entrepreneurs gouvernementaux, rapporte le Wall Street Journal.

Autres cibles

Au moins 30 sites Web d’universités ukrainiennes ont également été piratés lors d’une attaque ciblée qui aurait été menée par des acteurs de la menace identifiés comme le « Monday Group », qui aurait publiquement soutenu les récentes actions de la Russie.

Le groupe, dont les membres se désignent eux-mêmes comme « le Mx0nday », a ciblé les sites hébergés par WordPress plus de 100 000 fois depuis l’invasion.