Vendredi, des chercheurs en cybersécurité ont démasqué une nouvelle infrastructure de commandement et de contrôle (C2) appartenant à l’acteur russe de la menace identifié sous le nom d’APT29, alias Cozy Bear, qui a été repérée servant activement le malware WellMess dans le cadre d’une campagne d’attaque en cours.
Plus de 30 serveurs C2 exploités par le renseignement étranger russe ont été découverts, RiskIQ, filiale de cybersécurité appartenant à Microsoft mentionné dans un rapport partagé avec The Hacker News.
APT29, le surnom attribué aux agents gouvernementaux travaillant pour le service russe de renseignement étranger (SVR), aurait été le cerveau derrière l’attaque massive de la chaîne d’approvisionnement de SolarWinds qui a été révélée à la fin de l’année dernière, les gouvernements britannique et américain épinglant officiellement les intrusions. sur la Russie au début du mois d’avril.
L’activité est suivie par la communauté de la cybersécurité sous divers noms de code, notamment UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) et Iron Ritual (Secureworks), citant des différences. dans les tactiques, techniques et procédures (TTP) employées par l’adversaire avec celle des profils d’attaquants connus, en comptant APT29.
Identifié pour la première fois par le Japon JPCERT/CC en 2018, WellMess (alias WellMail) a déjà été déployé dans des campagnes d’espionnage menées par l’acteur menaçant pour piller la propriété intellectuelle de plusieurs organisations impliquées dans la recherche COVID-19 et le développement de vaccins au Royaume-Uni, aux États-Unis et au Canada.
« Le groupe utilise une variété d’outils et de techniques pour cibler principalement des cibles gouvernementales, diplomatiques, des groupes de réflexion, des soins de santé et de l’énergie à des fins de renseignement », a déclaré le National Cyber Security Center (NCSC) du Royaume-Uni. c’est noté dans un avis publié en juillet 2020.
RiskIQ a déclaré avoir commencé son enquête sur l’infrastructure d’attaque d’APT29 à la suite d’une divulgation publique d’un nouveau serveur WellMess C2 le 11 juin, conduisant à la découverte d’un cluster de pas moins de 30 serveurs C2 actifs. L’un des serveurs aurait été actif dès le 9 octobre 2020, bien qu’il ne soit pas clair comment ces serveurs sont utilisés ou qui sont les cibles.
Ce n’est pas la première fois que RiskIQ identifie l’empreinte de commande et de contrôle associée aux pirates de SolarWinds. En avril, il a déterré un ensemble supplémentaire de 18 serveurs avec une grande confiance qui a probablement communiqué avec les charges utiles Cobalt Strike secondaires ciblées livrées via les logiciels malveillants TEARDROP et RAINDROP déployés dans les attaques.
« L’équipe Atlas de RiskIQ évalue avec une grande confiance que ces adresses IP et ces certificats sont activement utilisés par APT29 », a déclaré Kevin Livelli, directeur des renseignements sur les menaces chez RiskIQ. « Nous n’avons pu localiser aucun logiciel malveillant qui a communiqué avec cette infrastructure, mais nous pensons qu’il est probablement similaire aux échantillons précédemment identifiés. »