Une nouvelle famille de malware, baptisée AgingFly, a été identifiée lors d’attaques ciblant des gouvernements locaux et des hôpitaux en Ukraine. Ce programme malveillant a pour objectif de récupérer des données d’authentification provenant de navigateurs basés sur Chromium et de l’application de messagerie WhatsApp.
Les incidents ont été détectés par l’équipe CERT-UA du pays le mois dernier, indiquant que les cibles incluent également des représentants des Forces de Défense.
Les attaques sont attribuées à un groupe de menaces cybernétiques connu sous le nom UAC-0247.
Chaîne d’attaque
Selon l’agence ukrainienne, le processus débute par l’envoi d’un e-mail prétendant offrir une aide humanitaire, qui pousse les destinataires à cliquer sur un lien intégré.
Ce lien redirige vers un site légitime compromis par une vulnérabilité de type cross-site scripting (XSS) ou vers un faux site généré à l’aide d’un outil d’IA.
CERT-UA a observé que les cibles reçoivent un fichier archive contenant un fichier de raccourci (LNK) qui active un gestionnaire HTA intégré, se connectant ensuite à une ressource distante pour obtenir et exécuter le fichier HTA.
Le fichier HTA présente un formulaire factice visant à détourner l’attention et programmera une tâche pour télécharger et exécuter un fichier EXE, injectant ainsi du code dans un processus légitime.
Par la suite, les attaquants introduisent un chargeur à deux étapes, dont la seconde utilise un format exécutable personnalisé, le chargement final étant compressé et chiffré.
Pour établir une connexion TCP avec le serveur de gestion, un reverse shell de type TCP ou un analogue appelé RAVENSHELL est utilisé, permettant d’exécuter des commandes via l’invite de commande Windows.
Au stade suivant, le malware AgingFly est livré et déployé. Un script PowerShell nommé SILENTLOOP sert à exécuter des commandes, mettre à jour la configuration et récupérer l’adresse du serveur de commande et de contrôle (C2) à partir d’un canal Telegram ou d’autres mécanismes de secours.
Source: CERT-UA
Après analyse d’une douzaine d’incidents, les chercheurs ont établi que l’attaquant dérobe des données navigateurs à l’aide de l’outil de sécurité ChromElevator, capable de déchiffrer et d’extraire des informations sensibles telles que les cookies et les mots de passe enregistrés sur les navigateurs basés sur Chromium.
De plus, il tente de récupérer des données sensibles depuis WhatsApp pour Windows en déchiffrant les bases de données au moyen de l’outil d’analyse judiciaire ZAPiDESK.
D’après les enquêteurs, l’acteur s’engage également dans des activités de reconnaissance et s’efforce de se déplacer latéralement dans le réseau, utilisant des outils accessibles au public comme RustScan, Ligolo-ng et Chisel.
Compilation du code source sur l’hôte
Le malware AgingFly est conçu en C# et permet à ses opérateurs d’exercer un contrôle à distance, d’exécuter des commandes, d’exfiltrer des fichiers, de capturer des captures d’écran, de pratiquer du keylogging, et d’exécuter du code arbitraire.
Il communique avec son serveur C2 via WebSockets et chiffre le trafic à l’aide de AES-CBC avec une clé statique.
Les chercheurs soulignent une particularité de AgingFly : il ne contient pas de gestionnaires de commande préconçus, ceux-ci étant compilés sur l’hôte à partir du code source reçu du serveur C2.
Selon CERT-UA, “une caractéristique distinctive d’AGINGFLY par rapport à des malwares similaires est l’absence de gestionnaires de commande intégrés. Ceux-ci sont récupérés du serveur C2 en tant que code source et compilés dynamiquement lors de l’exécution.”
Cette méthode offre des avantages tels qu’un poids initial réduit, la possibilité d’ajuster ou d’étendre les capacités à la demande et une meilleure chance d’échapper à la détection statique.
Cependant, cette approche complexe dépend de la connectivité au serveur C2, laissant un plus grand espace d’exécution et augmentant les risques de détection.
Pour entraver la chaîne d’attaque mise en œuvre dans cette campagne, CERT-UA recommande de bloquer le lancement de fichiers LNK, HTA et JS.