Le collectif de piratage parrainé par l’État russe connu sous le nom d’APT29 a été attribué à une nouvelle campagne de phishing qui tire parti de services cloud légitimes comme Google Drive et Dropbox pour fournir des charges utiles malveillantes sur des systèmes compromis. « Ces campagnes auraient ciblé plusieurs missions diplomatiques occidentales entre mai et juin 2022 », a déclaré l’unité 42 de Palo Alto Networks dans un rapport publié mardi. « Les leurres inclus dans ces campagnes suggèrent de cibler une ambassade étrangère au Portugal ainsi qu’une ambassade étrangère au Brésil. » APT29, également suivi sous les noms de Cozy Bear, Cloaked Ursa ou The Dukes, a été caractérisé comme un groupe de cyberespionnage organisé travaillant à collecter des renseignements qui s’alignent sur les objectifs stratégiques de la Russie. Certains aspects des activités de la menace persistante avancée, y compris la tristement célèbre attaque de la chaîne d’approvisionnement SolarWinds de 2020, sont suivis séparément par Microsoft sous le nom de Nobelium, Mandiant l’appelant un acteur de menace évolutif, discipliné et hautement qualifié qui opère avec un niveau accru de sécurité opérationnelle. » Les intrusions les plus récentes sont une continuation de la même opération secrète précédemment détaillée par Mandiant et Cluster25 en mai 2022, dans laquelle les e-mails de harponnage ont conduit au déploiement de Cobalt Strike Beacons au moyen d’une pièce jointe HTML appelée EnvyScout (alias ROOTSAW) attaché directement aux missives. Ce qui a changé dans les nouvelles itérations, c’est l’utilisation de services cloud comme Dropbox et Google Drive pour dissimuler leurs actions et récupérer des logiciels malveillants supplémentaires dans les environnements cibles. Une deuxième version de l’attaque observée fin mai 2022 se serait encore adaptée pour héberger le compte-gouttes HTML dans Dropbox.

« Les campagnes et les charges utiles analysées au fil du temps montrent une forte concentration sur le fonctionnement sous le radar et la réduction des taux de détection », a noté Cluster25 à l’époque. « À cet égard, même l’utilisation de services légitimes tels que Trello et Dropbox suggère la volonté de l’adversaire d’opérer pendant longtemps dans les environnements victimes en restant non détectés. » EnvyScout, pour sa part, sert d’outil auxiliaire pour infecter davantage la cible avec l’implant de choix de l’acteur, dans ce cas, un exécutable basé sur .NET qui est dissimulé dans plusieurs couches d’obscurcissement et utilisé pour exfiltrer les informations système ainsi qu’exécuter les binaires de la prochaine étape tels que Cobalt Strike récupérés sur Google Drive. « L’utilisation des services DropBox et Google Drive […] est une nouvelle tactique pour cet acteur et qui s’avère difficile à détecter en raison de la nature omniprésente de ces services et du fait qu’ils sont approuvés par des millions de clients dans le monde », ont déclaré les chercheurs. Les conclusions coïncident également avec une nouvelle déclaration du Conseil de l’Union européenne, dénonçant le pic des cyberactivités malveillantes perpétrées par les acteurs de la menace russe et « condamnant ce comportement inacceptable dans le cyberespace ». « Cette augmentation des cyberactivités malveillantes, dans le contexte de la guerre contre l’Ukraine, crée des risques inacceptables d’effets d’entraînement, d’interprétation erronée et d’une possible escalade », a déclaré le Conseil dans un communiqué de presse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *