Un sous-groupe du groupe de piratage parrainé par l’État russe APT44, également connu sous le nom de « Blizzard des coquillages » et « Ver des sables », a ciblé des organisations et des gouvernements critiques dans le cadre d’une campagne pluriannuelle baptisée « BadPilot ».’

L’acteur menaçant est actif depuis au moins 2021 et est également responsable de la violation de réseaux d’organisations dans les secteurs de l’énergie, du pétrole et du gaz, des télécommunications, du transport maritime et de la fabrication d’armes.

L’équipe de renseignements sur les menaces de Microsoft affirme que l’acteur se consacre à l’obtention d’un accès initial aux systèmes cibles, à l’établissement de la persistance et au maintien de la présence pour permettre à d’autres sous-groupes APT44 dotés d’une expertise post-compromission de prendre le relais.

« Nous avons également observé que le sous-groupe d’accès initial poursuivait l’accès à une organisation avant une attaque destructrice liée à Seashell Blizzard », lit-on dans un rapport Microsoft partagé avec Breachtrace.

L’évaluation de Microsoft est « que Seashell Blizzard utilise ce sous-groupe d’accès initial pour étendre horizontalement ses opérations à mesure que de nouveaux exploits sont acquis et pour maintenir un accès persistant aux secteurs actuels et futurs d’intérêt pour la Russie. »

Portée du ciblage
Les premières observations de Microsoft sur l’activité du sous-groupe montrent des opérations opportunistes ciblant l’Ukraine, l’Europe, l’Asie centrale et du Sud et le Moyen-Orient, en se concentrant sur des secteurs critiques.

À partir de 2022, à la suite de l’invasion de l’Ukraine par la Russie, le sous-groupe a intensifié ses opérations contre les infrastructures critiques soutenant l’Ukraine, y compris les secteurs gouvernemental, militaire, des transports et de la logistique.

Leurs intrusions visaient la collecte de renseignements, les perturbations opérationnelles et les attaques par essuie-glace visant à corrompre les données des systèmes ciblés.

« Nous estimons que le sous-groupe a probablement permis au moins trois cyberattaques destructrices en Ukraine depuis 2023 », mentionne Microsoft à propos de l’activité spécifique du sous-groupe.

En 2023, le champ de ciblage du sous-groupe s’était élargi, menant des compromis à grande échelle en Europe, aux États-Unis et au Moyen-Orient, et en 2024, il a commencé à se concentrer sur les États-Unis, le Royaume-Uni, le Canada et l’Australie.

Victimes du sous-groupe d’APT 44

Accès initial et activité post-compromission
Le sous-groupe APT 44 utilise plusieurs techniques pour compromettre les réseaux, notamment l’exploitation des vulnérabilités n-day dans l’infrastructure orientée Internet, le vol d’informations d’identification et les attaques de la chaîne d’approvisionnement.

Les attaques de la chaîne d’approvisionnement ont été particulièrement efficaces contre des organisations en Europe et en Ukraine, où les pirates ont ciblé des fournisseurs de services informatiques gérés au niveau régional, puis ont accédé à plusieurs clients.

Microsoft a observé des analyses de réseau et des tentatives d’exploitation ultérieures des vulnérabilités suivantes:

  • CVE-2021-34473 (Microsoft Échange)
  • CVE-2022-41352 (Suite de collaboration Zimbra)
  • CVE-2023-32315 (Feu ouvert)
  • CVE-2023-42793 (Ville de l’équipe JetBrains)
  • CVE-2023-23397 (dans Microsoft Outlook)
  • CVE-2024-1709 (Connexion écran ConnectWise)
  • CVE-2023-48788 (Fortinet Client fortifié EMS)

Après avoir exploité les vulnérabilités ci-dessus pour obtenir l’accès, les pirates ont établi la persistance en déployant des shells Web personnalisés comme « LocalOlive ».

En 2024, le sous-groupe APT44 a commencé à utiliser des outils de gestion à distance informatiques légitimes tels que Atera Agent et Splashtop Remote Services pour exécuter des commandes sur des systèmes compromis tout en se faisant passer pour des administrateurs informatiques pour échapper à la détection.

En ce qui concerne l’activité d’accès post-initiale, les acteurs de la menace utilisent Procdump ou le registre Windows pour voler des informations d’identification, et Rclone, Chisel et Plink pour l’exfiltration de données via des tunnels réseau secrets.

Aperçu de l’activité

Les chercheurs ont observé une nouvelle technique en 2024 alors que l’acteur de la menace acheminait le trafic via le réseau Tor « masquant efficacement toutes les connexions entrantes vers l’actif affecté et limitant les expositions de l’environnement de l’acteur et de la victime. »

Enfin, le sous-groupe effectue des déplacements latéraux pour atteindre toutes les parties du réseau qu’il peut, et modifie l’infrastructure au besoin pour ses opérations.

Les modifications incluent des manipulations de configuration DNS, la création de nouveaux services et tâches planifiées, et la configuration de l’accès par porte dérobée à l’aide d’OpenSSH avec des clés publiques uniques.

Microsoft affirme que le sous-groupe de pirates informatiques russes a une « portée quasi mondiale » et aide Seashell Blizzard à étendre son ciblage géographique.

Dans le rapport publié aujourd’hui, les chercheurs partagent des requêtes de chasse, des indicateurs de compromission (IOC) et des règles YARA permettant aux défenseurs de détecter l’activité de cet acteur menaçant et de l’arrêter avant .

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *