Des recherches récentes de Kaspersky montrent que l'acteur de la menace à l'origine de la campagne CommonMagic étend ses activités malveillantes, à la fois au niveau régional et d'un point de vue technique.
Selon eux, le cadre nouvellement découvert « CloudWizard » a étendu sa victimologie aux organisations du centre et de l'ouest de l'Ukraine ; jusqu'à présent, les entreprises de la zone de guerre russo-ukrainienne ont été touchées. De plus, les experts de Kaspersky ont pu relier l'acteur initialement inconnu aux campagnes APT précédentes telles que l'opération BugDrop et l'opération Groundbait (Prikormka).
En mars de cette année, Kaspersky a rendu compte d'une nouvelle campagne APT dans la zone de guerre russo-ukrainienne appelée CommonMagic, qui utilise des implants PowerMagic et CommonMagic à des fins d'espionnage. La campagne est active depuis septembre 2021 et utilise maintenant un malware non identifié auparavant pour collecter des données auprès des individus ciblés.
Framework CloudWizard découvert pour la première fois
La campagne ATP qui a maintenant été découverte utilisait un cadre modulaire appelé CloudWizard. Kaspersky a identifié un total de neuf modules dans ce cadre, chacun responsable d'activités malveillantes spécifiques telles que la collecte de fichiers, l'enregistrement de frappe, la prise de capture d'écran, l'enregistrement de microphone et le vol de mot de passe. L'un de ces modules se concentre sur l'exfiltration des données des comptes Gmail. En extrayant les cookies Gmail des bases de données du navigateur, ce module peut accéder aux journaux d'activité, aux listes de contacts et à tous les e-mails associés aux comptes cibles.
Parallèles entre CloudWizard, Groundbait et BugDrop
Des analyses plus poussées par les experts en sécurité de Kaspersky montrent également que la campagne a désormais une répartition élargie des victimes. Alors que les régions de Donetsk, Lougansk et de Crimée ont été ciblées jusqu'à présent, les individus, les institutions diplomatiques et les organismes de recherche de l'ouest et du centre de l'Ukraine sont désormais également touchés. De plus, les experts ont pu identifier des correspondances claires entre CloudWizard et deux campagnes précédemment documentées : Operation Groundbait et Operation BugDrop. Les similitudes incluent des parallèles dans le code, la dénomination et la liste des fichiers, l'hébergement par des services d'hébergement ukrainiens et des profils de victimes communs dans l'ouest et le centre de l'Ukraine et dans la région de conflit en Europe de l'Est.
De plus, CloudWizard présente également certaines similitudes avec la campagne CommonMagic récemment découverte. Certaines sections de code sont identiques ; les deux utilisent la même bibliothèque de chiffrement, suivent un format de nommage de fichier similaire et ont des emplacements cibles communs dans la zone de conflit d'Europe de l'Est.
As-tu un instant?
Prenez quelques minutes pour notre enquête auprès des utilisateurs 2023 et contribuez à améliorer B2B-CYBER-SECURITY.de!Vous n'avez qu'à répondre à 10 questions et vous avez une chance immédiate de gagner des prix de Kaspersky, ESET et Bitdefender.
Ici, vous accédez directement à l'enquête
Un groupe - de nombreuses campagnes d'attaques similaires
À partir de là, les experts de Kaspersky concluent que les campagnes malveillantes Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic et CloudWizard sont attribuées au même acteur de menace actif.
"L'acteur menaçant responsable de ces attaques poursuit constamment ses activités de cyberespionnage, améliore continuellement sa boîte à outils et cible des installations spécifiques qui l'intéressent depuis plus de quinze ans", explique Georgy Kucherin, expert en sécurité au sein de la Global Research & Analysis Team (GReAT) par Kaspersky. "Les facteurs géopolitiques continuent d'être un moteur majeur des attaques APT. Compte tenu des tensions qui prévalent dans la zone de conflit russo-ukrainien, nous nous attendons à ce que cet acteur poursuive ses opérations dans un avenir prévisible.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/