Les agences Five Eyes exposent les tactiques d'attaque cloud en évolution d'APT29

27 février 2024RédactionSécurité du cloud/intelligence sur les menaces

Les agences de cybersécurité et de renseignement des pays Five Eyes ont publié un avis conjoint détaillant l’évolution des tactiques de l’acteur menaçant parrainé par l’État russe, connu sous le nom de APT29.

Le groupe de piratage informatique, également connu sous les noms de BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anciennement Nobelium) et The Dukes, est considéré comme étant affilié au Service de renseignement étranger (SVR) de la Fédération de Russie.

Précédemment attribué à la compromission de la chaîne d’approvisionnement du logiciel SolarWinds, le groupe de cyberespionnage a attiré l’attention ces derniers mois pour avoir ciblé Microsoft, Hewlett Packard Enterprise (HPE) et d’autres organisations dans le but de faire avancer leurs objectifs stratégiques.

« Alors que les organisations continuent de moderniser leurs systèmes et de migrer vers une infrastructure basée sur le cloud, le SVR s’est adapté à ces changements dans l’environnement d’exploitation », selon le bulletin de sécurité.

Ceux-ci inclus –

Obtenir l’accès à l’infrastructure cloud via des services et des comptes dormants au moyen d’attaques par force brute et par pulvérisation de mots de passe, en s’éloignant de l’exploitation des vulnérabilités logicielles dans les réseaux sur site

Utiliser des jetons pour accéder aux comptes des victimes sans avoir besoin d’un mot de passe

Tirer parti des techniques de pulvérisation de mots de passe et de réutilisation des informations d’identification pour prendre le contrôle des comptes personnels, utiliser le bombardement rapide pour contourner les exigences d’authentification multifacteur (MFA), puis enregistrer leur propre appareil pour accéder au réseau.

Rendre plus difficile la distinction des connexions malveillantes des utilisateurs typiques en utilisant des proxys résidentiels pour faire apparaître le trafic malveillant comme s’il provenait d’adresses IP situées dans les plages des fournisseurs d’accès Internet (FAI) utilisées pour les clients haut débit résidentiels et dissimuler leurs véritables origines.

« Pour les organisations qui ont migré vers une infrastructure cloud, la première ligne de défense contre un acteur tel que SVR devrait être de se protéger contre les TTP de SVR pour l’accès initial », ont déclaré les agences. « Une fois que le SVR obtient l’accès initial, l’acteur est capable de déployer des capacités post-compromission très sophistiquées telles que MagicWeb. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

ttn-fr-57

Georgina Verbaan est critiquée après une étrange apparition à la télévision : « Quel clown ! »

Le Maroc à la place de l’Espagne : le changement d’association de Brahim Diaz du Real Madrid

Furlani, le PDG avec un cœur Rossoneri qui s’occupe des comptes et du marché des transferts

Niners Chemnitz après une démonstration de force en demi-finale