Un réseau cybercriminel connu sous le nom de « Storm-0978 » exploite activement une vulnérabilité non corrigée d’exécution de code à distance dans Microsoft Office et Windows HTML. Cette vulnérabilité zero- day très grave désignée sous le nom de CVE-2023-36884 a obtenu un score CVSS v3.1 de 8,3. Elle a été exploitée par le biais de documents Microsoft Office spécialement conçus que les victimes sont incitées à ouvrir à l’aide d’e-mail frauduleux.
Ces hackers ciblent les entités gouvernementales et de défense en Europe et en Amérique du Nord en envoyant des e-mails dont l’objet est « Congrès mondial ukrainien » ou « OTAN ». Ils incluent des liens vers un site Web qui héberge des documents frauduleux.
Une fois que la victime a ouvert le document Office malveillant, les cybercriminels peuvent exécuter du code arbitraire sur les systèmes ciblés. Conséquence : ils peuvent envoyer des charges utiles supplémentaires telles que des chevaux de Troie d’accès distant (RAT) ou des ransomwares.
Étant donné que cette vulnérabilité n’est pas encore corrigée, d’autres pirates peuvent tenter de lancer des attaques similaires en utilisant des tactiques semblables. Ils peuvent par exemple diffuser des documents destructeurs sous forme de pièces jointes incluses dans des e-mails plutôt que de créer un lien vers un site malveillant.
À l’heure où nous écrivons cet article, la liste complète des versions vulnérables de Microsoft Office et Windows n’a pas été partagée. Cependant, on estime que les versions récentes d’Office, de Windows et de Word sont concernées.
Qui se cache derrière « Storm-0978 » ?
« Storm-0978 », également connu sous le nom de « RomCom », en raison de son utilisation précédente du RAT du même nom, serait un réseau cybercriminel étroitement lié à la Russie. Il serait actif depuis au moins un an.
Ayant déjà utilisé des chevaux de Troie de logiciels populaires pour diffuser le RAT RomCom, le groupe a également été associé aux menaces de ransomware « Trigona » et « Underground ». Ce dernier pourrait être le nouveau nom d’« Industrial Spy ».
Comme c’est souvent le cas avec des hackers motivés par l’appât du gain, les attaques qui ciblaient les secteurs des télécommunications et de la finance semblaient opportunistes. En revanche, leurs récentes activités semblent davantage ciblées, voire motivées par l’espionnage.
Recommandations
En attendant la publication d’une mise à jour de sécurité hors cycle ou dans la publication mensuelle Patch Tuesday, les entreprises doivent suivre les recommandations de Microsoft prodiguées dans leur guide de mise à jour de la sécurité. Ce dernier recommande de mettre en place la règle de réduction de la surface d’attaque « Bloquer toutes les applications Office pour créer des processus enfants » dans Microsoft Defender ou de configurer la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.
Lorsqu’elles effectuent ces ajustements, les entreprises doivent prendre en compte les impacts de tout changement de registre, car ceux-ci peuvent affecter les fonctionnalités des applications. Elles doivent également envisager d’adopter une approche proactive en surveillant la publication des mises à jour de sécurité hors cycle.
En outre, il convient d’envisager la mise en œuvre de restrictions d’accès aux domaines et aux adresses IP mentionnées dans la section relative aux indices de compromission (IOC). Cette opération permettra non seulement d’empêcher les utilisateurs d’accéder à des contenus malveillants, mais également de contrer d’éventuelles tentatives de commande et contrôle.
Enfin, si vous soupçonnez une attaque ciblée, analysez minutieusement votre environnement à la recherche des IOC indiqués ci-dessous et agissez immédiatement pour contenir et corriger les menaces identifiées. En suivant ces recommandations, votre entreprise peut renforcer sa posture de sécurité et minimiser l’impact d’éventuelles failles.
Indices de compromission (IOC)
| IOC | Type | Description |
|---|---|---|
|
ukrainianworldcongress[.]info |
Domaine |
Imite le nom de domaine légitime ukrainianworldcongress[.]org |
|
%APPDATA%\Local\Temp\Temp1_<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.zip\2222.chm |
Chemin d’accès au fichier |
Charge utile CHM spécifique à la victime contenant file1.htm, file1.mht, fileH.htm, fileH.mht et INDEX.htm |
|
104.234.239[.]26 |
IPv4 |
Hôtes C2 et charges utiles supplémentaires |
|
213.139.204[.]173 |
IPv4 |
Se résout à ukrainianworldcongress[.]info |
|
66.23.226[.]102 |
IPv4 |
Infrastructure potentielle de Storm-0978 (contenu similaire) |
|
74.50.94[.]156 |
IPv4 |
Hôtes C2 et charges utiles supplémentaires |
|
94.232.40[.]34 |
IPv4 |
Infrastructure potentielle de Storm-0978 (contenu similaire) |
|
07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d |
SHA256 |
Deuxième étape du document Microsoft Word malveillant - file001.url |
|
07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d |
SHA256 |
Deuxième étape du document Microsoft Word malveillant - \\104.234.239[.]26\share1\MSHTML_C7\file001.url |
|
3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97 |
SHA256 |
Letter_NATO_Summit_Vilnius_2023_FR.docx - Document frauduleux |
|
a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f |
SHA256 |
Overview_of_UWCs_UkraineInNATO_campaign.docx - Document frauduleux |
|
ddf15e9ed54d18960c28fb9a058662e7a26867776af72900697400cb567c79be |
SHA256 |
Document Word malveillant - hxxp://74.50.94[.]156/MSHTML_C7/doc_dld.asp?filename=<FILENAME.DOC> |
|
e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539 |
SHA256 |
afchunk.rtf - Charge utile d’exploit intégrée dans les documents frauduleux |
|
\\104.234.239[.]26\share1\MSHTML_C7\file001.url |
Chemin UNC |
Deuxième étape du document Word malveillant - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d |
|
\\104.234.239[.]26\share1\MSHTML_C7\file001.url |
URL |
Deuxième étape du document Word malveillant - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d |
|
hxxp://104.234.239[.]26/share1/MSHTML_C7/1/<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.htm?d=<VICTIM_IP>_<5_CHAR_HEX_ID> |
URL |
Call home utilisé pour générer des charges utiles avec l’adresse IP/l’identifiant de la victime |
|
hxxp://104.234.239[.]26/share1/MSHTML_C7/1/<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.zip |
URL |
Charge utile générée pour l’adresse IP de la victime |
|
hxxp://104.234.239[.]26/share1/MSHTML_C7/file001.url |
URL |
Deuxième étape du document Word malveillant - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d |
|
hxxp://66.23.226[.]102/MSHTML_C7/start.xml |
URL |
Infrastructure potentielle de Storm-0978 (contenu similaire) |
|
hxxp://74.50.94[.]156/MSHTML_C7/doc_dld.asp?filename=<FILENAME.DOC> |
URL |
Document Word malveillant - ddf15e9ed54d18960c28fb9a058662e7a26867776af72900697400cb567c79be |
|
hxxp://74.50.94[.]156/MSHTML_C7/o2010.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ |
URL |
Charge utile générée pour l’adresse IP de la victime |
|
hxxp://74.50.94[.]156/MSHTML_C7/RFile.asp |
URL |
Référencé par start.xml ; charge le contenu généré pour l’IP de la victime |
|
hxxp://74.50.94[.]156/MSHTML_C7/start.xml |
URL |
Chargement du fichier RFile.asp |
|
hxxp://74.50.94[.]156/MSHTML_C7/zip_k.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ |
URL |
Charge utile générée pour l’adresse IP de la victime |
|
hxxp://74.50.94[.]156/MSHTML_C7/zip_k2.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ |
URL |
Charge utile générée pour l’adresse IP de la victime |
|
hxxp://74.50.94[.]156/MSHTML_C7/zip_k3.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ |
URL |
Charge utile générée pour l’adresse IP de la victime |
|
hxxp://94.232.40[.]34/MSHTML_C7/start.xml |
URL |
Infrastructure potentielle de Storm-0978 (contenu similaire) |
|
hxxp://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Letter_NATO_Summit_Vilnius_2023_ENG.docx |
URL |
Document frauduleux |
|
hxxps://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx |
URL |
Document frauduleux |
