Un acteur mena\u00e7ant parrain\u00e9 par l’\u00c9tat russe a \u00e9t\u00e9 observ\u00e9 ciblant des entit\u00e9s diplomatiques et gouvernementales dans le cadre d’une s\u00e9rie de campagnes de phishing commen\u00e7ant le 17 janvier 2022.<\/p>\n
La soci\u00e9t\u00e9 de renseignement sur les menaces et de r\u00e9ponse aux incidents Mandiant a attribu\u00e9 les attaques \u00e0 un groupe de piratage informatique suivi sous le nom d’APT29 (alias Cozy Bear), avec un ensemble d’activit\u00e9s associ\u00e9es \u00e0 l’\u00e9quipage sous le nom de Nobelium (alias UNC2452\/2652).<\/p>\n
“Cette derni\u00e8re vague de spear phishing met en \u00e9vidence les int\u00e9r\u00eats durables d’APT29 \u00e0 obtenir des informations diplomatiques et de politique \u00e9trang\u00e8re aupr\u00e8s des gouvernements du monde entier”, a d\u00e9clar\u00e9 le Mandiant. mentionn\u00e9<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n L’acc\u00e8s initial aurait \u00e9t\u00e9 facilit\u00e9 par des e-mails de harponnage se faisant passer pour des avis administratifs, utilisant des adresses e-mail l\u00e9gitimes mais compromises d’autres entit\u00e9s diplomatiques.<\/p>\n Ces e-mails contiennent une pi\u00e8ce jointe HTML appel\u00e9e ROOTSAW (alias EnvyScout) qui, lorsqu’elle est ouverte, d\u00e9clenche une s\u00e9quence d’infection qui d\u00e9livre et ex\u00e9cute un t\u00e9l\u00e9chargeur appel\u00e9 BEATDROP sur un syst\u00e8me cible.<\/p>\n \u00c9crit en C, BEATDROP est con\u00e7u pour r\u00e9cup\u00e9rer les logiciels malveillants de niveau sup\u00e9rieur \u00e0 partir d’un serveur de commande et de contr\u00f4le (C2) distant. Il y parvient en abusant du service Trello d’Atlassian pour stocker les informations sur les victimes et r\u00e9cup\u00e9rer les charges utiles de shellcode crypt\u00e9es AES \u00e0 ex\u00e9cuter.<\/p>\n APT29 utilise \u00e9galement un outil nomm\u00e9 BOOMMIC (alias VaporRage) pour \u00e9tablir un pied dans l’environnement, suivi d’une escalade de leurs privil\u00e8ges au sein du r\u00e9seau compromis pour un mouvement lat\u00e9ral et une reconnaissance approfondie des h\u00f4tes.<\/p>\n De plus, un changement op\u00e9rationnel ult\u00e9rieur observ\u00e9 en f\u00e9vrier 2022 a vu l’acteur mena\u00e7ant s’\u00e9loigner de BEATDROP en faveur d’un chargeur bas\u00e9 sur C++ appel\u00e9 BEACON, refl\u00e9tant potentiellement la capacit\u00e9 du groupe \u00e0 modifier p\u00e9riodiquement ses TTP pour rester sous le radar.<\/p>\n BEACON, programm\u00e9 en C ou C++, fait partie du framework Cobalt Strike qui facilite l’ex\u00e9cution de commandes arbitraires, le transfert de fichiers et d’autres fonctions de porte d\u00e9rob\u00e9e telles que la capture de captures d’\u00e9cran et l’enregistrement de frappe.<\/p>\n Le d\u00e9veloppement suit la strat\u00e9gie de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 d\u00e9cision<\/a> de fusionner le cluster non cat\u00e9goris\u00e9 UNC2452 dans APT29, tout en notant la propension du groupe hautement sophistiqu\u00e9 \u00e0 faire \u00e9voluer et \u00e0 affiner son m\u00e9tier technique pour obscurcir l’activit\u00e9 et limiter son empreinte num\u00e9rique pour \u00e9viter la d\u00e9tection.<\/p>\n![\"Hackers](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1651497085_840_Des-pirates-informatiques-russes-ciblant-des-entites-diplomatiques-en-Europe.jpg\" "\\"Hackers")
<\/div>\n![\"Hackers](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1651497086_740_Des-pirates-informatiques-russes-ciblant-des-entites-diplomatiques-en-Europe.jpg\" "\\"Hackers")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n