Le groupe russe APT28 a lancé une campagne de spear-phishing ciblant des entités ukrainiennes et des alliés de l'OTAN. L'objectif est le déploiement de PRISMEX, un malware inconnu jusqu'à présent. Cette suite utilise des techniques sophistiquées pour échapper aux détections et maintenir l'accès aux systèmes compromis, reflétant l'évolution constante des menaces ciblées à motivation géopolitique.
Techniques d'obfuscation et de persistance de PRISMEX 🕵️
PRISMEX utilise la stéganographie avancée, cachant sa charge utile malveillante à l'intérieur de fichiers d'image apparemment normaux. Pour la persistance, il détourne le modèle d'objets composants (COM) du système. Ses communications de commande et contrôle sont camouflées par l'abus de services légitimes dans le cloud, rendant difficile le blocage du trafic malveillant et l'analyse médico-légale.
Les gars d'APT28 et leur obsession pour l'art numérique 🎨
Non contents du phishing traditionnel, ils nous offrent maintenant de l'art abstrait. Ils cachent le malware dans des images, comme s'ils étaient des artistes numériques d'avant-garde. Leur utilisation créative des services cloud démontre que même les acteurs de la menace apprécient les avantages du calcul distribué. Un effort notable, bien qu'on préférerait qu'ils canalisent cette inventivité dans des projets open source légitimes.