La menace persistante avancée connue sous le nom de Viverne d’hiver est lié à des campagnes ciblant des responsables gouvernementaux en Inde, en Lituanie, en Slovaquie et au Vatican depuis 2021.
L’activité visait des agences gouvernementales polonaises, le ministère ukrainien des Affaires étrangères, le ministère italien des Affaires étrangères et des individus au sein du gouvernement indien, a déclaré SentinelOne dans un rapport partagé avec The Hacker News.
« Le ciblage par l’APT d’entreprises privées, y compris les organisations de télécommunications qui soutiennent l’Ukraine dans la guerre en cours, est particulièrement intéressant », a déclaré Tom Hegel, chercheur principal sur les menaces. a dit.
Winter Vivern, également suivi sous le nom d’UAC-0114, a attiré l’attention le mois dernier après que l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a détaillé une nouvelle campagne de logiciels malveillants visant les autorités ukrainiennes et polonaises pour diffuser un logiciel malveillant baptisé Aperetif.
Les précédents rapports publics relatant le groupe montrent qu’il a exploité des documents Microsoft Excel militarisés contenant des macros XLM pour déployer des implants PowerShell sur des hôtes compromis.
Bien que les origines de l’acteur de la menace soient inconnues, les schémas d’attaque suggèrent que le cluster est aligné sur des objectifs qui soutiennent les intérêts des gouvernements biélorusse et russe.
L’UAC-0114 a utilisé une variété de méthodes, allant des sites Web de phishing aux documents malveillants, qui sont adaptées à l’organisation ciblée pour distribuer ses charges utiles personnalisées et obtenir un accès non autorisé aux systèmes sensibles.
Dans une série d’attaques observées à la mi-2022, Winter Vivern a créé des pages Web de phishing d’informations d’identification pour attirer les utilisateurs du service de messagerie légitime du gouvernement indien email.gov[.]dans.
Les chaînes d’attaque typiques impliquent l’utilisation de scripts batch se faisant passer pour des scanners de virus pour déclencher le déploiement du cheval de Troie Aperetif à partir d’infrastructures contrôlées par des acteurs, telles que des sites WordPress compromis.
Aperetif, un logiciel malveillant basé sur Visual C++, est doté de fonctionnalités permettant de collecter les données des victimes, de maintenir l’accès par porte dérobée et de récupérer des charges utiles supplémentaires à partir du serveur de commande et de contrôle (C2).
« Le Winter Vivern APT est un groupe aux ressources limitées mais très créatif qui fait preuve de retenue dans la portée de ses attaques », a déclaré Hegel.
« Leur capacité à attirer des cibles dans les attaques et leur ciblage des gouvernements et des entreprises privées de grande valeur démontrent le niveau de sophistication et d’intention stratégique de leurs opérations. »
Alors que Winter Vivern a peut-être réussi à échapper à l’attention du public pendant de longues périodes, un groupe qui n’est pas trop préoccupé par le fait de rester sous le radar est Nobelium, qui partage des chevauchements avec APT29 (alias BlueBravo, Cozy Bear ou The Dukes).
Le groupe d’États-nations soutenu par le Kremlin, connu pour la compromission de la chaîne d’approvisionnement SolarWinds en décembre 2020, a continué à faire évoluer son ensemble d’outils, en développant de nouveaux logiciels malveillants personnalisés comme MagicWeb et GraphicalNeutrino.
Il a également été attribué à une autre campagne de phishing dirigée contre des entités diplomatiques de l’Union européenne, avec un accent particulier sur les agences qui « aident les citoyens ukrainiens à fuir le pays et fournissent une aide au gouvernement ukrainien ».
« Nobelium collecte activement des informations sur les pays soutenant l’Ukraine dans la guerre russo-ukrainienne », a déclaré BlackBerry. a dit. « Les acteurs de la menace suivent attentivement les événements géopolitiques et les utilisent pour augmenter leur possibilité d’une infection réussie. »
Les e-mails de phishing, repérés par l’équipe de recherche et de renseignement de l’entreprise, contiennent un document militarisé qui comprend un lien pointant vers un fichier HTML.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
Les URL militarisées, hébergées sur un site Web de bibliothèque en ligne légitime basé au Salvador, présentent des leurres liés à LegisWrite et eTrustEx, qui sont tous deux utilisés par les pays de l’UE pour l’échange sécurisé de documents.
Le compte-gouttes HTML (surnommé ROOTSAW ou EnvyScout) fourni dans la campagne intègre une image ISO, qui, à son tour, est conçue pour lancer une bibliothèque de liens dynamiques (DLL) malveillante qui facilite la livraison d’un logiciel malveillant de niveau supérieur via les API de Notion.
L’utilisation de Notion, une application de prise de notes populaire, pour les communications C2 a déjà été révélée par Recorded Future en janvier 2023. Il convient de noter qu’APT29 a utilisé divers services en ligne tels que Dropbox, Google Drive, Firebase et Trello pour tenter d’échapper à la détection.
« Nobelium reste très actif, exécutant plusieurs campagnes en parallèle ciblant les organisations gouvernementales, les organisations non gouvernementales (ONG), les organisations intergouvernementales (OIG) et les groupes de réflexion aux États-Unis, en Europe et en Asie centrale », a déclaré Microsoft. déclaré le mois dernier.
Les découvertes surviennent également alors que la société de sécurité d’entreprise Proofpoint a divulgué des campagnes de courrier électronique agressives orchestrées par un acteur menaçant aligné sur la Russie appelé TA499 (alias Lexus et Vovan) depuis début 2021 pour inciter les cibles à participer à des appels téléphoniques enregistrés ou à des chats vidéo et extraire des informations précieuses.
« L’acteur de la menace s’est engagé dans une activité régulière et a élargi son ciblage pour inclure des hommes d’affaires de premier plan et des personnalités de premier plan qui ont soit fait des dons importants aux efforts humanitaires ukrainiens, soit ceux qui font des déclarations publiques sur la désinformation et la propagande russes », a déclaré la société. a dit.