Le collectif de piratage parrainé par l’État russe connu sous le nom d’APT29 a été attribué à une nouvelle campagne de phishing qui tire parti de services cloud légitimes comme Google Drive et Dropbox pour fournir des charges utiles malveillantes sur des systèmes compromis.
« Ces campagnes auraient ciblé plusieurs missions diplomatiques occidentales entre mai et juin 2022 », Palo Alto Networks Unit 42 a dit dans un rapport de mardi. « Les leurres inclus dans ces campagnes suggèrent de cibler une ambassade étrangère au Portugal ainsi qu’une ambassade étrangère au Brésil. »
APT29, également suivi sous les noms de Cozy Bear, Cloaked Ursa ou The Dukes, a été caractérisé comme un groupe de cyberespionnage organisé travaillant à collecter des renseignements qui s’alignent sur les objectifs stratégiques de la Russie.
Certains aspects des activités de la menace persistante avancée, y compris la tristement célèbre attaque de la chaîne d’approvisionnement SolarWinds de 2020, sont suivis séparément par Microsoft sous le nom de Nobelium, Mandiant l’appelant un acteur de menace évolutif, discipliné et hautement qualifié qui opère avec un niveau accru de sécurité opérationnelle. »
Les intrusions les plus récentes sont une continuation de la même opération secrète précédemment détaillée par Mandiant et Grappe25 en mai 2022, dans lequel les e-mails de harponnage ont conduit au déploiement de Cobalt Strike Beacons au moyen d’une pièce jointe HTML appelée EnvyScout (alias ROOTSAW) attachée directement aux missives.
Ce qui a changé dans les nouvelles itérations, c’est l’utilisation de services cloud comme Dropbox et Google Drive pour dissimuler leurs actions et récupérer des logiciels malveillants supplémentaires dans les environnements cibles. Une deuxième version de l’attaque observée fin mai 2022 se serait encore adaptée pour héberger le compte-gouttes HTML dans Dropbox.
« Les campagnes et les charges utiles analysées au fil du temps montrent une forte concentration sur le fonctionnement sous le radar et la réduction des taux de détection », a noté Cluster25 à l’époque. « À cet égard, même l’utilisation de services légitimes tels que Trello et Dropbox suggère la volonté de l’adversaire d’opérer pendant longtemps dans les environnements victimes en restant non détectés. »
EnvyScout, pour sa part, sert d’outil auxiliaire pour infecter davantage la cible avec l’implant de choix de l’acteur, dans ce cas, un exécutable basé sur .NET qui est dissimulé dans plusieurs couches d’obscurcissement et utilisé pour exfiltrer les informations système ainsi qu’exécuter les binaires de la prochaine étape tels que Cobalt Strike récupérés sur Google Drive.
« L’utilisation des services DropBox et Google Drive […] est une nouvelle tactique pour cet acteur et qui s’avère difficile à détecter en raison de la nature omniprésente de ces services et du fait qu’ils bénéficient de la confiance de millions de clients dans le monde », ont déclaré les chercheurs.
Les conclusions coïncident également avec une nouvelle déclaration du Conseil de l’Union européenne, dénonçant la flambée des cyberactivités malveillantes perpétrées par les acteurs de la menace russe et « condamnant[ing] ce comportement inacceptable dans le cyberespace. »
« Cette augmentation des cyberactivités malveillantes, dans le contexte de la guerre contre l’Ukraine, crée des risques inacceptables d’effets d’entraînement, d’interprétation erronée et d’une éventuelle escalade », a déclaré le Conseil. a dit dans un communiqué de presse.