Le service de contre-espionnage militaire polonais et son équipe d’intervention d’urgence informatique ont lié des pirates informatiques APT29 parrainés par l’État, qui font partie du service de renseignement étranger (SVR) du gouvernement russe, à des attaques généralisées ciblant les pays de NATO et de l’Union européenne.
Dans le cadre de cette campagne, le groupe de cyberespionnage (également suivi sous le nom de Cozy Bear et Nobelium) visait à récolter des informations auprès d’entités diplomatiques et de ministères des Affaires étrangères.
« Au moment de la publication du rapport, la campagne est toujours en cours et en développement », avertit un avis publié aujourd’hui.
« Le Service de contre-espionnage militaire et le CERT.PL recommandent à toutes les entités pouvant se trouver dans la zone d’intérêt de l’acteur de mettre en place des mécanismes visant à améliorer la sécurité des systèmes de sécurité informatique utilisés et à augmenter la détection des attaques. »
Les attaquants ont ciblé le personnel diplomatique en utilisant des e-mails de phishing se faisant passer pour les ambassades des pays européens avec des liens vers des sites Web malveillants ou des pièces jointes conçues pour déployer des logiciels malveillants via des fichiers ISO, IMG et ZIP.
Les sites Web contrôlés par APT29 ont infecté les victimes avec le compte-gouttes EnvyScout via la contrebande HTML, qui a aidé à déployer des téléchargeurs connus sous le nom de SNOWYAMBER et QUARTERRIG et conçus pour fournir des logiciels malveillants supplémentaires, ainsi qu’un stager CobaltStrike Beacon nommé HALFRIG.
SNOWYAMBER et QUARTERRIG ont été utilisés pour la reconnaissance afin d’aider les attaquants à évaluer la pertinence de chaque cible et à déterminer s’ils ont compromis les pots de miel ou les machines virtuelles utilisées pour l’analyse des logiciels malveillants.
« Si le poste de travail infecté réussissait la vérification manuelle, les téléchargeurs susmentionnés étaient utilisés pour fournir et démarrer les outils commerciaux COBALT STRIKE ou BRUTE RATEL », indique un rapport d’analyse de malware séparé publié aujourd’hui.
« HALFRIG, d’autre part, fonctionne comme un soi-disant chargeur – il contient la charge utile COBALT STRIKE et l’exécute automatiquement. »
APT29 est la division de piratage du service russe de renseignement extérieur (SVR) qui était également liée à l’attaque de la chaîne d’approvisionnement de SolarWinds qui a conduit à la compromission de plusieurs agences fédérales américaines il y a trois ans.
Depuis lors, le groupe de piratage a piraté les réseaux d’autres organisations en utilisant des logiciels malveillants furtifs qui sont restés non détectés pendant des années, y compris un nouveau logiciel malveillant suivi sous le nom de TrailBlazer et une variante de la porte dérobée GoldMax Linux.
L’unité 42 a également observé l’outil de simulation d’attaques contradictoires Brute Ratel utilisé dans des attaques soupçonnées d’être liées aux cyber-espions russes SVR.
Plus récemment, Microsoft a signalé que les pirates APT29 utilisaient de nouveaux logiciels malveillants capables de détourner les services de fédération Active Directory (ADFS) pour se connecter en tant que n’importe qui dans les systèmes Windows.
Ils ont également ciblé des comptes Microsoft 365 dans les pays de NATO pour tenter d’accéder à des informations sur la politique étrangère et ont orchestré une vague de campagnes de phishing ciblant des gouvernements, des ambassades et des hauts fonctionnaires à travers l’Europe.