Les chercheurs en cybersécurité ont récemment dévoilé des détails sur un acteur malveillant connu sous le nom de Sticky Werewolf, impliqué dans des cyberattaques visant des entités en Russie et en Biélorussie.
Ces attaques de phishing ciblaient des secteurs variés, allant d’une entreprise pharmaceutique à un institut de recherche russe en microbiologie et développement de vaccins, ainsi qu’au secteur aéronautique.
Celles-ci marquent une diversification des cibles, initialement concentrées sur des organisations gouvernementales, selon un rapport publié par Morphisec.
Techniques et méthodes de Sticky Werewolf
Dans les campagnes antérieures, les chaînes d’infection commençaient par des emails de phishing contenant un lien pour télécharger un fichier malveillant depuis des plateformes comme gofile.io.
Cependant, dans la campagne la plus récente, les attaquants utilisaient des fichiers d’archive contenant des fichiers LNK pointant vers une charge utile stockée sur des serveurs WebDAV.
Ce qui distingue Sticky Werewolf des autres groupes, tels que Cloud Werewolf, Quartz Wolf, Red Wolf, et Scaly Wolf, est son approche sophistiquée.
Documenté pour la première fois par BI.ZONE en octobre 2023, Sticky Werewolf est actif depuis au moins avril 2023.
Les attaques antérieures documentées par cette firme de cybersécurité ont mis en lumière l’utilisation d’emails de phishing avec des liens menant à des charges utiles malveillantes, le tout culminant avec le déploiement du cheval de Troie d’accès à distance NetWire, dont l’infrastructure a été démantelée par les forces de l’ordre l’année dernière.
Morphisec a observé une nouvelle chaîne d’attaque impliquant des fichiers LNK contenus dans une archive RAR.
Une fois extraits, ces fichiers incluent deux LNK et un document PDF leurre prétendant être une invitation à une vidéoconférence, incitant les destinataires à cliquer sur ces fichiers pour accéder à l’ordre du jour et à la liste de distribution des emails.
Ouvrir l’un des fichiers LNK déclenche l’exécution d’un binaire hébergé sur un serveur WebDAV, ce qui mène à l’exécution d’un script batch Windows obfusqué.
Ce script sert finalement à exécuter un script AutoIt, injectant la charge utile finale tout en contournant les logiciels de sécurité et les tentatives d’analyse.
Objectifs et implication géopolitique
Cette campagne vise à déployer des chevaux de Troie d’accès à distance et des logiciels malveillants pour voler des informations, comme Rhadamanthys et Ozone RAT.
L’exécutable final, identifié comme une archive auto-extractible NSIS, fait partie d’un crypteur auparavant connu nommé CypherIT.
Bien que CypherIT ne soit plus vendu, une variante de ce crypteur a été observée sur certains forums de piratage.
« Bien que nous n’ayons pas de preuves définitives concernant l’origine nationale du groupe Sticky Werewolf, le contexte géopolitique suggère d’éventuels liens avec un groupe de cyberespionnage pro-ukrainien ou des hacktivistes, » précise Arnold Osipov, chercheur en sécurité informatique chez Morphisec.
BI.ZONE a également révélé un cluster d’activités codé à Sapphire Werewolf, responsable de plus de 300 attaques ciblant les secteurs de l’éducation, de la fabrication, de l’IT, de la défense et de l’aérospatiale en Russie.
Ces attaques utilisent Amethyst, une variante du malware open source SapphireStealer.
En mars 2024, l’entreprise russe a découvert d’autres clusters connus sous les noms de Fluffy Wolf et Mysterious Werewolf, utilisant des leurres de spear-phishing pour distribuer des outils malveillants comme Remote Utilities, le mineur XMRig, WarZone RAT, et un backdoor spécifique nommé RingSpy.
« Le backdoor RingSpy permet à l’adversaire d’exécuter des commandes à distance, d’obtenir leurs résultats et de télécharger des fichiers depuis des ressources réseau, » a noté BI.ZONE.
Le serveur de commandement et de contrôle de ce backdoor est un bot Telegram.
La diversité et la sophistication de ces cybermenaces montrent l’importance cruciale de renforcer la cybersécurité pour protéger les secteurs critiques et la population en général contre les attaques malveillantes.
Rester informé et vigilant est désormais une nécessité impérieuse pour tous les utilisateurs en ligne.
Les dangers sous-estimés de Sticky Werewolf
Le phishing et l’utilisation de fichiers LNK malveillants dans le cadre des actions de Sticky Werewolf posent de sérieux risques en cybersécurité.
Les méthodes sophistiquées de ce groupe permettent de contourner efficacement les solutions de sécurité traditionnelles, rendant les systèmes vulnérables aux intrusions.
L’impact potentiel sur les entreprises victimes inclut le vol de données sensibles, la perturbation des opérations commerciales et la compromission de la propriété intellectuelle.
Pour les organisations dans les secteurs ciblés, comme l’aéronautique ou la recherche pharmaceutique, cela pourrait entraîner une perte de compétitivité et des coûts accrus en matière de sécurité.
Comment se prémunir contre Sticky Werewolf
Pour se protéger contre les attaques de Sticky Werewolf, il est essentiel de mettre en place des mesures de sécurité robustes.
Les entreprises doivent sensibiliser leurs employés aux dangers du phishing et les former à reconnaître les signes d’emails suspects.
De plus, la mise à jour régulière des logiciels de sécurité et l’utilisation de solutions de protection avancées contre les menaces (ATP) peuvent aider à détecter et à neutraliser les fichiers LNK malveillants et autres vecteurs d’attaque.
Enfin, la surveillance continue des systèmes et une réponse rapide aux incidents sont cruciales pour minimiser les impacts potentiels.
