Quelques jours seulement après que Microsoft a déployé en urgence un correctif pour une vulnérabilité majeure de sa suite bureautique, les experts en cybersécurité ont tiré la sonnette d'alarme. Le CERT-UA, l'équipe nationale ukrainienne de réponse aux urgences informatiques, a confirmé que des pirates informatiques russes exploitaient déjà activement cette brèche. Cette réactivité fulgurante montre à quel point les groupes de cybercriminels étatiques sont prompts à militariser les failles dès leur découverte, transformant un simple logiciel en une porte d'entrée pour leurs opérations. L'offensive se concentre principalement sur des membres du gouvernement ukrainien et des organisations de l'Union européenne.
Comment cette attaque sophistiquée fonctionne-t-elle ?
L'opération, baptisée « Neusploit », repose sur une méthode d'ingénierie sociale bien rodée : l'envoi de documents Word piégés par email. Ces fichiers, aux noms évocateurs comme « Consultation_Topics_Ukraine(Final).doc », prétendent contenir des informations sur des réunions européennes ou des bulletins météo officiels ukrainiens. Dès que la victime ouvre le document, la faille critique est exploitée. Ce qui rend l'attaque particulièrement dangereuse, c'est qu'elle ne nécessite aucune interaction supplémentaire de l'utilisateur, comme l'activation de macros ou un clic sur un lien.
La vulnérabilité permet de contourner les mécanismes de sécurité intégrés à Windows, forçant Office à établir une connexion réseau vers un serveur distant via le protocole WebDAV. Ce canal sert ensuite à télécharger une charge malveillante, un premier module dont le rôle est de préparer le terrain pour l'infection principale. Cette technique est un classique de l'arsenal numérique et souligne l'importance de maintenir ses logiciels à jour pour se prémunir contre ce type de menace ciblée.
Quels sont les outils malveillants déployés par les pirates ?
Les analystes de Zscaler ThreatLabz ont identifié deux variantes principales de la chaîne d'attaque. La première déploie un malware nommé MiniDoor, un projet VBA (Visual Basic for Applications) conçu spécifiquement pour Microsoft Outlook. Son objectif est simple et direct : voler les emails de l'utilisateur. MiniDoor parcourt méticuleusement plusieurs dossiers de la boîte mail (boîte de réception, courrier indésirable, brouillons) et transfère discrètement les messages vers deux adresses email contrôlées par les attaquants. Ces opérations sont cruciales pour la collecte de renseignements sensibles sur les stratégies de défense de l'Ukraine.
La seconde variante est bien plus complexe et furtive. Elle utilise un outil nommé PixyNetLoader pour déposer plusieurs composants malveillants sur la machine. Parmi eux, une image PNG en apparence inoffensive qui dissimule du code malveillant grâce à la stéganographie (une technique pour cacher des données dans un fichier anodin). Ce code est ensuite extrait et exécuté pour établir une persistance sur le système via le détournement d'objet COM, une méthode avancée garantissant que le malware reste actif même après un redémarrage. Ce mode opératoire illustre la sophistication croissante des campagnes d'espionnage numérique.
Quel est l'objectif final et qui est derrière cette campagne ?
Au terme de cette chaîne d'infection élaborée, le code malveillant dissimulé dans l'image charge en mémoire un implant « Grunt » du framework open source Covenant. Cet outil de commande et de contrôle (C2) offre aux attaquants un accès distant et complet à l'ordinateur infecté. Ils peuvent alors exfiltrer des fichiers, surveiller l'activité de l'utilisateur ou utiliser la machine comme un pivot pour attaquer d'autres systèmes sur le même réseau. Le but premier de l'opération est sans équivoque : le vol d'informations stratégiques.
Cette campagne de cyberattaques est attribuée au groupe APT28, également connu sous les noms de « Fancy Bear » ou « UAC-0001 ». Ce collectif de hackers est notoirement lié au renseignement militaire russe (le GRU) et a déjà été impliqué dans de nombreuses opérations de déstabilisation et d'ingérence, notamment contre des institutions françaises. Bien que le grand public ne soit pas la cible directe de cette campagne, il est impératif pour tous les utilisateurs de s'assurer que leur suite Office est bien à jour en redémarrant simplement les applications concernées pour appliquer le correctif de sécurité.
