Un groupe de pirates informatiques lié au Bélarus, **GhostWriter** (également connu sous les noms de UNC1151 et Storm-0257), a lancé une nouvelle campagne d'espionnage ciblant des responsables du gouvernement ukrainien. La campagne utilise des e-mails de phishing sophistiqués, déguisés en messages de **Prometheus**, une plateforme d'apprentissage en ligne populaire en Ukraine, pour livrer des malwares. Selon l'équipe de réponse aux incidents de sécurité informatique de l'Ukraine, **CERT-UA**, la campagne est active depuis le printemps 2024 et implique l'envoi d'e-mails de phishing depuis des comptes compromis à des employés d'organisations gouvernementales. ### Détails du schéma de phishing Les e-mails sont conçus pour apparaître comme des messages légitimes de **Prometheus**, prétendant offrir des certificats pour la réussite de cours en ligne. **Prometheus** propose une large gamme de cours, y compris ceux liés à la programmation, aux affaires, à l'administration publique, au service militaire et même à l'ingénierie des drones, ce qui en fait un leurre efficace. ### Modus Operandi de GhostWriter **GhostWriter**, un acteur de la menace lié aux services de renseignement de l'État biélorusse, a un historique de ciblage du personnel militaire ukrainien, des institutions gouvernementales polonaises et d'autres responsables de la région. Leurs tactiques précédentes incluent le vol d'identifiants et les opérations d'influence. ### Livraison de malware et chaîne d'infection Les e-mails de phishing contiennent une pièce jointe PDF avec un lien malveillant. Ce lien télécharge une archive ZIP contenant un malware identifié sous le nom d'OysterFresh. La chaîne de malware déploie ensuite des composants connus sous les noms d'OysterBlues et d'OysterShuck. Ces composants sont conçus pour collecter des informations système à partir des appareils infectés et les transmettre à une infrastructure contrôlée par l'attaquant, qui est cachée derrière **Cloudflare**. ### Exfiltration de données et déploiement potentiel de Cobalt Strike **CERT-UA** rapporte que le malware recueille une gamme complète de détails, y compris le nom de l'ordinateur, la version du système d'exploitation, les informations du compte utilisateur et une liste des processus en cours d'exécution. L'agence avertit également que les systèmes compromis pourraient potentiellement recevoir un payload lié à **Cobalt Strike**, un outil légitime de test d'intrusion fréquemment abusé par les cybercriminels et les groupes soutenus par des États à des fins malveillantes. ### Campagne d'espionnage récente ciblant le système Delta Cet avertissement fait suite à une récente divulgation par **CERT-UA** concernant une autre campagne d'espionnage ciblant les utilisateurs de Delta, le système ukrainien de gestion du champ de bataille et de connaissance de la situation. Dans cette opération, les attaquants ont envoyé des e-mails de phishing se faisant passer pour des alertes des agences de cybersécurité ukrainiennes, avertissant les destinataires d'un prétendu accès non autorisé aux comptes Delta.