Amazon a saisi des domaines utilisés par le groupe de piratage russe APT29 dans des attaques ciblées contre des organisations gouvernementales et militaires pour voler des informations d’identification et des données Windows à l’aide de fichiers de connexion malveillants au Protocole de bureau à distance.
APT29, également connu sous le nom de « Cozy Bear » et « Midnight Blizzard », est un groupe de cyberespionnage parrainé par l’État russe et lié au Service de renseignement extérieur russe (SVR).
Amazon précise que bien que les pages de phishing utilisées par APT29 aient été conçues pour apparaître comme des domaines AWS, ni Amazon, ni les informations d’identification de sa plate-forme cloud n’ont été les cibles directes de ces attaques.
« Certains des noms de domaine qu’ils ont utilisés ont essayé de tromper les cibles en leur faisant croire que les domaines étaient des domaines AWS (ils ne l’étaient pas), mais Amazon n’était pas la cible, ni le groupe après les informations d’identification des clients AWS », lit-on dans l’annonce.
« Au contraire, APT29 a recherché les informations d’identification Windows de ses cibles via Microsoft Remote Desktop. »
« En apprenant cette activité, nous avons immédiatement lancé le processus de saisie des domaines dont abusait APT29 qui se faisait passer pour AWS afin d’interrompre l’opération. »
Les auteurs de menaces sont connus pour leurs attaques hautement sophistiquées ciblant les gouvernements, les groupes de réflexion et les instituts de recherche du monde entier, utilisant souvent le phishing et les logiciels malveillants pour voler des informations sensibles.
Cibler les organisations dans le monde entier
Bien que la récente campagne d’APT29 ait eu un impact significatif en Ukraine, où elle a été découverte pour la première fois, sa portée était large, ciblant plusieurs pays considérés comme des adversaires russes.
Amazon note que dans cette campagne particulière, APT29 a envoyé des courriels de phishing à un nombre beaucoup plus grand de cibles qu’ils ne le font habituellement, suivant l’approche inverse de leur stratégie typique de « ciblage étroit ».
L’Équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a publié un avis sur ces pièces jointes « RDP voyous » pour avertir de l’activité de messagerie de masse, qu’elle suit sous ‘UAC-0215.’
Les messages portaient sur le thème de la résolution des problèmes d ‘ »intégration » avec les services Amazon et Microsoft et de la mise en œuvre d’une architecture de cybersécurité « zéro confiance » (Architecture Zero Trust, ZTA).
Les courriels comprenaient des fichiers de connexion RDP (Remote Desktop Protocol)avec des noms tels que » Vérification de la conformité de l’environnement de sécurité Zero Trust.rdp » qui initiait automatiquement les connexions aux serveurs malveillants lorsqu’il était ouvert.
Comme on peut le voir sur l’image de l’un de ces profils de connexion RDP ci-dessus, ils partageaient toutes les ressources locales avec le serveur RDP contrôlé par l’attaquant, y compris:
- Disques et fichiers locaux
- Ressources du réseau
- Imprimantes
- Ports COM
- Appareils audio
- Presse-papiers
De plus, UA-CERT indique qu’ils peuvent également être utilisés pour exécuter des programmes ou des scripts non autorisés sur l’appareil compromis.
Bien qu’Amazon affirme que cette campagne a été utilisée pour voler des informations d’identification Windows, car les ressources locales de la cible ont été partagées avec le serveur RDP de l’attaquant, cela aurait également permis aux auteurs de la menace de voler des données directement à partir des appareils partagés.
Cela inclut toutes les données stockées sur les disques durs de la cible, le presse-papiers Windows et les partages réseau mappés.
CERT-UA recommande d’examiner attentivement les journaux d’interaction réseau pour les adresses IP partagées dans la section CiO de leur bulletin afin de détecter d’éventuels signes d’attaques ou de violation.
De plus, les mesures ci-dessous sont recommandées pour réduire la surface d’attaque:
- Bloquer ».fichiers rdp sur la passerelle de messagerie.
- Empêcher les utilisateurs de lancer any ‘.fichiers rdp lorsqu’ils ne sont pas nécessaires.
- Configurez les paramètres du pare-feu pour restreindre les connexions RDP à partir du mstsc.programme exe vers des ressources réseau externes.
- Configurez les stratégies de groupe pour désactiver la redirection des ressources via RDP (‘Services bureau à distance’ – > ‘Hôte de session Bureau à distance’ – > ‘Redirection des périphériques et des ressources’ – > ‘ Ne pas autoriser…’).
APT 29 reste l’une des cybermenaces les plus performantes de Russie, devenant récemment connue pour utiliser des exploits uniquement disponibles pour les vendeurs de logiciels espions.
Au cours de l’année écoulée, il a été révélé que les acteurs de la menace avaient piraté d’importants éditeurs de logiciels tels que TeamViewer, Microsoft et Hewlett Packard Enterprise.
Les services de renseignement occidentaux ont averti plus tôt ce mois-ci qu’APT 29 exploitait « en masse » les failles des serveurs Zimbra et JetBrains TeamCity pour violer d’importantes organisations dans le monde entier.