Microsoft a identifié une campagne de phishing par l'acteur russe Storm-0978 ciblant les agences de défense et gouvernementales en Europe et en Amérique du Nord. Il s'agit de données financières et d'espionnage dans l'attaque.
Storm-0978 (DEV-0978 ; également appelé RomCom, le nom de leur porte dérobée) est un groupe cybercriminel basé en Russie connu pour mener des opérations opportunistes de ransomware et d'extorsion, ainsi que des attaques ciblant les informations d'identification. Storm-0978 exploite, développe et distribue la porte dérobée RomCom. L'acteur déploie également le ransomware souterrain, qui est étroitement lié au ransomware Industrial Spy, qui a été observé pour la première fois dans la nature en mai 2022. La dernière campagne de l'acteur, découverte en juin 2023, impliquait l'abus de CVE-2023-36884 pour fournir une porte dérobée présentant des similitudes avec RomCom.
Le russe Storm-0978 prend des mesures ciblées
Storm-0978 est connu pour cibler les organisations avec des versions trojanisées de logiciels légitimes populaires, ce qui conduit à l'installation de RomCom. Les opérations ciblées de Storm-0978 ont eu un impact sur les organisations gouvernementales et militaires principalement en Ukraine, ainsi que sur les organisations en Europe et en Amérique du Nord susceptibles d'être impliquées dans les affaires ukrainiennes. Les attaques de rançongiciels identifiées ont touché, entre autres, les secteurs des télécommunications et de la finance.
Outils Storm-0978 et TTP
🔎 Les e-mails Storm-0978 utilisaient des sujets du Congrès mondial ukrainien et de l'OTAN (Image : Microsoft).
Storm-0978 utilise des versions trojanisées de logiciels populaires et légitimes. Les exemples observés de logiciels contenant des chevaux de Troie sont les produits Adobe, Advanced IP Scanner, Solarwinds Network Performance Monitor, Solarwinds Orion, KeePass et Signal. Afin de fournir les programmes d'installation contenant des chevaux de Troie pour le déploiement, Storm-0978 enregistre généralement des domaines malveillants qui imitent le logiciel légitime (par exemple, le domaine malveillant advanced-ip-scaner[.]com).
Dans les attaques de ransomware à motivation financière, Storm-0978 utilise le ransomware Industrial Spy, une variante de ransomware observée pour la première fois dans la nature en mai 2022, et le ransomware Underground. L'acteur a également utilisé le rançongiciel Trigona dans au moins une attaque identifiée.
De plus, en raison des activités de phishing attribuées, Storm-0978 a acquis des exploits ciblant les vulnérabilités zero-day. Les activités d'exploitation identifiées incluent l'abus de CVE-2023-36884 , y compris une vulnérabilité d'exécution de code à distance, qui a été exploitée via des documents Microsoft Word en juin 2023, ainsi que l'abus de vulnérabilités qui aident à contourner une fonctionnalité de sécurité.
activité de rançongiciel
Dans les intrusions connues de ransomware, Storm-0978 a accédé aux informations d'identification en vidant les hachages de mot de passe du gestionnaire de compte de sécurité (SAM) via le registre Windows. Pour accéder à SAM, les attaquants doivent acquérir des privilèges de niveau SYSTEM. Microsoft Defender pour Endpoint détecte ce type d'activité avec des alertes telles que « Exportation de la ruche du registre SAM ». Storm-0978 a ensuite exploité les fonctionnalités SMBExec et WMIExec du framework Impacket pour les mouvements latéraux.
Microsoft a lié Storm-0978 à sa gestion passée du marché des ransomwares Industrial Spy and Crypter. Cependant, dès juillet 0978, Storm-2023 a commencé à utiliser une variante de ransomware appelée Underground, qui présente un chevauchement de code important avec le ransomware Industrial Spy. La similitude de code entre les deux variantes de ransomware, ainsi que l'implication antérieure de Storm-0978 dans les opérations d'Industrial Spy, pourraient indiquer que Underground est un changement de nom du ransomware Industrial Spy.
Campagne de phishing en juin 2023
Storm-0978 a lancé une campagne de phishing en utilisant un faux chargeur OneDrive pour injecter une porte dérobée avec des similitudes de type RomCom. Les e-mails de phishing ciblaient les agences de défense et gouvernementales en Europe et en Amérique du Nord et contenaient des appâts liés au Congrès mondial ukrainien. Ces e-mails ont conduit à l'exploitation de la vulnérabilité CVE-2023-36884.
Notamment, au cours de cette campagne, Microsoft a identifié des activités de ransomware Storm-0978 simultanées et distinctes contre une cible non liée qui utilisait les mêmes charges utiles initiales. L'activité ultérieure du ransomware contre un profil de victime différent souligne les diverses motivations observées dans les attaques Storm-0978.
Plus sur Microsoft.com
À propos de Microsoft Allemagne Microsoft Deutschland GmbH a été fondée en 1983 en tant que filiale allemande de Microsoft Corporation (Redmond, USA). Microsoft s'engage à donner à chaque personne et à chaque organisation de la planète les moyens d'en faire plus. Ce défi ne peut être relevé qu'ensemble, c'est pourquoi la diversité et l'inclusion sont solidement ancrées dans la culture d'entreprise depuis le tout début. En tant que premier fabricant mondial de solutions logicielles productives et de services modernes à l'ère du cloud intelligent et de la périphérie intelligente, ainsi qu'en tant que développeur de matériel innovant, Microsoft se considère comme un partenaire de ses clients afin de les aider à tirer parti de la transformation numérique. La sécurité et la confidentialité sont des priorités absolues lors du développement de solutions. En tant que plus grand contributeur au monde, Microsoft pilote la technologie open source via sa principale plateforme de développement, GitHub. Avec LinkedIn, le plus grand réseau de carrière, Microsoft promeut le réseautage professionnel dans le monde entier.