[Europe] Analyse d’une campagne de l’APT Gamaredon utilisant le COVID-19

Trend Micro a récemment publié sur son blog une analyse d’une campagne de l’APT Gamaredon utilisant le COVID-19 comme leurre. Gamaredon est un groupe actif depuis 2013 et qui est connu pour habituellement viser des institutions gouvernementales ukrainiennes. Cependant, en mars, Trend Micro a découvert des mails utilisant le terme coronavirus dans son sujet contenant une pièce jointe malveillante et ayant des correspondances avec les tactiques utilisées par Gamaredon. Ces mails avaient pour cible divers pays d’Europe et d’autres dans le monde. 

Cette campagne a été analysée en détail par Trend Micro. En ouvrant la pièce jointe (format .docx) un document template en format .dot est téléchargé et lui-même va exécuter un VBScript, un langage de script créé par Microsoft. 

Le document template peut différer en fonction de chaque téléchargement, cependant plusieurs informations restent constantes : 

  • Identification : Word 8.0

  • Language du code : Russe

  • Système : Windows

  • Auteur : АДМИН (“Administrateur” en Russe)

  • Code page: Windows Cyrillic

Ce template contient une macro qui va exporter un VBS (PlayList.vbs) dans le dossier “%USERPROFILE%\Documents\MediaPlayer\” puis l’exécuter. Le code contenu dans le fichier VBS est alors déchiffré puis exécuté et a pour but de délivrer des charges utiles malveillantes dans le système infecté. Trend Micro note que les tactiques et routines du code exécuté sont très proches de ce qui a été observé précédemment pour l’APT Gamaredon.

Lors du téléchargement du template puis du fichier VBS, deux adresses IP ont été trouvées :

  • pour le template : 176[.]119[.]147[.]225

  • pour le fichier VBS : 176[.]57[.]215[.]115

Ces deux IP appartiennent à des entreprises russes. Il est probable que les attaquants aient loué un serveur virtuel (VPS) afin d’en faire leur base d’attaque. 

Des informations plus détaillées sont disponibles ici.