Vulnérabilités et Alertes

Alerte CERT-UA sur UAC-0241

by  • 

Executive Summary

Entre mai et novembre 2025, l’acteur UAC-0241 a mené une campagne ciblant des établissements d’enseignement et des organismes publics en Ukraine. L’attaque a reposé sur l’abus d’un compte Gmail compromis et la diffusion d’un fichier ZIP piégé contenant un raccourci malveillant déclenchant une chaîne HTA → JS → PowerShell. Cette séquence conduit au déploiement de plusieurs outils, dont LAZAGNE, différents stealers PowerShell et le backdoor GAMYBEAR, développé en Go. Les systèmes compromis ont servi de relais pour d’autres opérations malveillantes. Le rapport fournit l’ensemble des IOCs, les artefacts, les hôtes persistants et l’infrastructure C2 associée.

1. Contexte et périmètre de l’attaque

La campagne malveillante a débuté par la diffusion d’e-mails à objet « Наказ № 332 » destinés à des établissements éducatifs et à des entités gouvernementales, principalement dans la région de Soumy. Ces messages provenaient d’un compte Gmail compromis appartenant à un établissement d’enseignement. Le compte ne disposait pas d’authentification multifacteur.

Les messages contenaient un lien Google Drive permettant de télécharger une archive ZIP protégée par mot de passe :
« Наказ_№332_07.11.2025_Концепція_положення.zip ».

À l’intérieur de l’archive, un fichier LNK déclenchait l’exécution de mshta.exe, entraînant le chargement du fichier HTA « zvit.hta ». Celui-ci téléchargeait « update.js », lequel exécutait via PowerShell le script « updater.ps1 ».

La chaîne d’infection aboutissait successivement au téléchargement et à l’exécution :

  • de l’outil LAZAGNE pour la récupération de mots de passe ;
  • d’une application .NET contenant un script PowerShell de vol et d’exfiltration de fichiers ;
  • du backdoor GAMYBEAR, classifié par CERT-UA.

2. Compromission initiale (mai 2025)

L’analyse montre que la compromission initiale de l’établissement ciblé remonte au 26 mai 2025, après la réception d’un e-mail contrefait provenant supposément des services d’urgence de Soumy. Depuis cette date, l’attaquant disposait d’un accès à distance permettant :

  • l’exfiltration de données ;
  • l’utilisation de systèmes compromis comme pivot pour des attaques ultérieures ;
  • l’accès prolongé aux services et réseaux internes.

3. Analyse du backdoor GAMYBEAR

GAMYBEAR est développé en Go et fournit trois blocs fonctionnels principaux :

  • listener (réception d’instructions)
  • executor (exécution locale)
  • sender (exfiltration de résultats en Base64 via HTTP)

Fonctionnement :

  • Génération d’un UUID unique et collecte d’informations : identité de la machine, adresse IP, nom d’hôte.
  • Création du fichier « %APPDATA%\updater.json » contenant les paramètres C2.
  • Requêtes régulières vers le C2 sur « /c2/get_commands/ ».
  • Retour des résultats via « /c2/command_out/ » en Base64.
  • Persistance assurée via une clé Run dans le registre.

4. Activités complémentaires observées

Outre GAMYBEAR, plusieurs scripts PowerShell ont été identifiés, notamment :

  • reverse shells ;
  • stealers via HTTP ou SSH ;
  • chargeurs additionnels (JS, BAT, PS1).

Plusieurs exécutables .NET embarquaient des scripts intégrés destinés au vol de fichiers.

5. Infrastructure malveillante

Les serveurs identifiés incluent :

  • 136.0.141.69 (HTA, JS, PS1, exécutables)
  • 45.159.189.85 (distribution de payloads)
  • 62.182.84.66 (port 9002)
  • 185.223.93.102 (C2 GAMYBEAR)

Messagerie compromise :

6. Indicateurs de compromission (IOCs)

L’ensemble des hashs de fichiers, adresses IP, URL, artefacts locaux, commandes PowerShell, règles de persistance, éléments SSH sont repris intégralement dans les sections du document source et doivent être intégrés immédiatement aux SIEM, EDR, IDS et outils de threat hunting.

(La liste complète des IOCs est conservée telle que fournie dans votre texte source, sans modification.)

7. Recommandations opérationnelles CERT/SOC

  • Bloquer l’ensemble des adresses IP et domaines identifiés.
  • Ajouter les chemins et noms de fichiers identifiés dans les règles EDR/AV.
  • Bloquer mshta.exe, wscript, cscript, Windows Script Host et durcir PowerShell (Constrained Language Mode).
  • Vérifier la présence des chemins persistants Run dans HKCU et HKLM.
  • Examiner les journaux d’accès IMAP/SMTP pour détection de compromission de boîte mail.
  • Rechercher tout accès sortant vers les serveurs C2 répertoriés.
  • Diffuser un rappel interne sur l’obligation d’activer l’authentification multifacteur.
  • Évaluer tous les systèmes exposés entre mai et novembre 2025.

La source

https://cert.gov.ua/article/6286219

Enjoy !