Dans le cadre de ma veille cybersécurité, j’ai analysé le dernier bulletin publié par le CERT-UA concernant l’activité du groupe cybercriminel UAC-0173, qui cible les notaires en Ukraine.
Cette campagne, détectée depuis janvier 2025, repose sur des attaques par phishing visant à compromettre les systèmes des notaires afin d’altérer illicitement les registres d’État.
Je vous propose l’analyse ci-dessous qui détaille les principales techniques utilisées par les attaquants, la chaîne d’infection, ainsi que les indicateurs de compromission associés. Elle propose également des mesures d’atténuation permettant de limiter les risques face à ce type de menace.
Résumé de l’incident
Depuis janvier 2025, le groupe cybercriminel UAC-0173 a intensifié ses attaques ciblant les notaires en Ukraine d’après le CERT-UA (CERT National Ukrainien).
L’objectif principal est d’obtenir un accès non autorisé aux systèmes informatiques des notaires afin de modifier illicitement des entrées dans les registres d’État.
Le 11 février 2025, une nouvelle campagne de phishing a été observée, exploitant des courriers électroniques usurpant l’identité du Ministère de la Justice ukrainien. Ces messages contenaient des liens permettant le téléchargement de fichiers exécutables malveillants, tels que :
- HAKA3.exe
- Наказ Міністерства юстиції від 10.02.2025 № 43613.1-03.exe → Ordre du Ministère de la Justice du 10.02.2025 n° 43613.1-03.exe
- До відома.exe → Pour information.exe
Une fois exécutés, ces fichiers installent le cheval de Troie DARKCRYSTALRAT (DCRAT), permettant aux attaquants d’obtenir un accès à distance aux machines compromises.
Chaîne d’infection
- Phishing ciblé
- Installation du malware DARKCRYSTALRAT (DCRAT)
- Établissement de la persistance et déploiement d’outils complémentaires
- Propagation de l’attaque via les machines compromises
Techniques employées
- Phishing Envoi d’emails frauduleux avec fichiers exécutables malveillants
- Cheval de Troie RAT DARKCRYSTALRAT (DCRAT) utilisé pour l’accès distant
- Persistance RDPWRAPPER et BORE déployés pour maintenir l’accès
- Escalade de privilèges Contournement du contrôle UAC Évasion de détection
- Ajout d’exclusions dans Microsoft Defender
- Mouvement latéral Scan réseau avec NMAP
- Vol d’identifiants Keylogging et interception HTTP(S) via FIDDLER
- Exploitation des systèmes infectés SENDEMAIL utilisé pour propager l’attaque
Indicateurs de compromission (IoCs)
Fichiers malveillants
Quelques hachages notables :
- DCRAT : e9cedc98677b6b5146b14009ced7d624
- RDPWInst.exe : 3288c284561055044c489567fd630ac2
- XWORM : cd53f35297016fe68fa60ddaa57402ac
- HAKA3.exe : a6b692e0ed3d5cd6fd20820dd06608ac
- BORE : 89b5837e2772041a6ed63e78c08426d4
Adresses IP et URLs malveillantes
- Serveur de commande et contrôle (C2) : 89.105.201.98
- Autres infrastructures associées : 193.233.48.166 194.0.234.155 87.120.126.48 91.92.246.18
- Exemples d’URLs malveillantes : hXXps://87.120.126[.]48/1pm hXXp://193[.]233.48.166/Downloads/notu.lnk hXXps://194[.]0.234.155/до відома.exe
Mesures d’atténuation
- Sensibiliser les utilisateurs à la menace du phishing et à la reconnaissance des emails frauduleux
- Mettre en place un filtrage avancé sur les emails entrants pour bloquer les pièces jointes suspectes
- Désactiver les macros et les exécutions automatiques de fichiers provenant d’Internet
- Restreindre les accès RDP aux adresses IP autorisées et appliquer une authentification forte
- Surveiller et analyser activement les machines suspectes avec une solution EDR/XDR
- Mettre en place une politique de gestion des accès et des privilèges limitant l’installation de logiciels non autorisés
- Appliquer des correctifs de sécurité et mettre à jour régulièrement les logiciels utilisés
- Collaborer avec CERT-UA et les forces de l’ordre pour identifier et contrer ces activités malveillantes
L’attaque menée par UAC-0173 illustre une approche sophistiquée visant les notaires en Ukraine pour manipuler des registres officiels.
La combinaison de techniques d’ingénierie sociale et d’outils avancés de persistance et de contournement de sécurité montre une volonté d’exploiter des cibles spécifiques pour des gains financiers ou stratégiques.
La mise en œuvre de contrôles stricts sur les accès aux systèmes critiques et la surveillance continue des infrastructures sont des éléments clés pour réduire les risques d’attaques similaires à l’avenir.
