Selon security.com, une campagne attribuée à des acteurs liés à la Russie (Sandworm/Seashell Blizzard, GRU) a visé des services d’entreprises et des entités gouvernementales en Ukraine pendant deux mois, avec pour objectifs l’exfiltration d’informations sensibles et l’accès persistant au réseau.

L’attaque s’appuie sur le déploiement de webshells sur des serveurs exposés et non corrigés, dont le webshell Localolive associé à Sandworm. Les assaillants ont privilégié des tactiques de type Living-off-the-Land, limitant l’empreinte malveillante et démontrant une connaissance approfondie des outils natifs Windows.

Techniques et actions observées:

  • Accès initial via webshells sur serveurs publics non patchés (Localolive).
  • Évasion/défense: configuration d’exclusions Windows Defender; empreinte malware minimale.
  • Persistance: tâches planifiées exécutant des dumps mémoire (comsvcs.dll, rundll32); déploiement de multiples portes dérobées PowerShell; installation d’OpenSSH pour accès distant; manipulation de la configuration RDP.
  • Vol d’identifiants: dumps mémoire (dont usage de rdrleakdiag); extraction des ruches de registre; ciblage de KeePass.
  • Mouvement latéral: activité à travers au moins six systèmes, de juin à août 2025.

Outils et artefacts mentionnés:

  • Webshell: Localolive.
  • Outils natifs/LoL: comsvcs.dll, rundll32, PowerShell, rdrleakdiag, RDP, OpenSSH, commandes de reconnaissance standard.
  • Cibles d’identifiants: KeePass.

IOCs et TTPs:

  • IOCs: non fournis dans l’extrait.
  • TTPs: exploitation de serveurs exposés; déploiement de webshells; évasion par exclusions AV; persistance via tâches planifiées; dumping mémoire; extraction de hives du registre; backdoors PowerShell; configuration RDP; installation d’OpenSSH; reconnaissance réseau; mouvement latéral; collecte d’informations sensibles.

Cet article est une analyse de menace visant à documenter les techniques, outils et objectifs d’une campagne d’espionnage attribuée à Sandworm/Seashell Blizzard.

🧠 TTPs et IOCs détectés

TTPs

Exploitation de serveurs exposés, Déploiement de webshells, Évasion par exclusions AV, Persistance via tâches planifiées, Dumping mémoire, Extraction de hives du registre, Backdoors PowerShell, Configuration RDP, Installation d’OpenSSH, Reconnaissance réseau, Mouvement latéral, Collecte d’informations sensibles

IOCs

Non fournis dans l’extrait

🔗 Source originale : https://www.security.com/threat-intelligence/ukraine-russia-attacks